JavaScript-Sandbox vm2: PoC zeigt neuen Sandbox-Ausbruch
Eine kritische Lücke in der JavaScript-Sandbox vm2 können Angreifer zum Ausbruch missbrauchen. Aktualisierte Software steht bereit, die die Lücken schließt.
(Bild: Shutterstock)
In der JavaScript-Sandbox vm2 klafft abermals eine kritische Sicherheitslücke, die Angreifern den Ausbruch aus der Sandbox ermöglicht. Proof-of-Concept-Code, der die Schwachstelle demonstriert, ist bereits verfügbar. Eine neue Version der Software dichtet diese und eine weitere Schwachstelle ab.
vm2-Sandbox: kritisches Leck
In einer Sicherheitsmeldung erläutert das vm2-Projekt, dass Angreifer zum Ausbrechen aus der Sandbox das unerwartete Erstellen eines host-Objektes basierend auf der Proxy-Spezifikation missbrauchen könnten. Eingeschmuggelter Code ließe sich dadurch mittels Function im Host-Kontext ausführen (CVE-2023-32314, CVSS 9.8, Risiko "kritisch"). Der Proof-of-Concept-Code (PoC) veranschaulicht, wie einfach das auszunutzen ist, und reicht den Befehl "echo 'hacked'" durch – der anstatt in der VM im Host läuft.
Eine weitere Sicherheitslücke ermöglicht bösartigen Akteuren, Optionen für console.log zu manipulieren. Sie können eine Lese- und Schreib-Referenz auf die inspect-Methode erlangen und so die Einstellungen bearbeiten (CVE-2023-32313, CVSS 5.3, mittel). Auch hierfür steht ein Proof-of-Concept bereit, der die Lücke praktisch veranschaulicht.
Die Sicherheitslücken betreffen alle älteren vm2-Versionen, einschließlich 3.9.17. Die aktuelle Version 3.9.18 von vm2 dichtet die Sicherheitslecks ab. Zudem unterstützt die neue Fassung etwa eine resolver-API, die resolver für mehrere NodeVM-Instanzen teilt (shared resolver), um so etwa Skripte zu cachen und die Sandbox-Startzeiten zu verkürzen. Da die Sicherheitsmeldungen auch Programmcode verlinken, der das Ausnutzen der Lücken veranschaulicht, können Cyberkriminelle das schnell in ihre Exploit-Baukästen integrieren. Wer vm2 einsetzt, sollte daher so schnell wie möglich die Aktualisierung auf Version 3.9.18 oder neuer anwenden.
Die vm2-Sandbox soll eigentlich das Ausführen von Node.js-Modulen absichern. Vor rund einem Monat musste das vm2-Projekt schon einmal die Software aufgrund kritischer Sicherheitslücken aktualisieren.
(dmk)
