Très utilisée par les logiciels, la librairie VM2 contient une faille de sécurité critique qui permet à l’attaquant d’exécuter du code malveillant sur la machine hôte. Faisons le point sur cette vulnérabilité.
La première question que l’on peut se poser, c’est : « qu’est-ce que la librairie VM2 ?« . Il s’agit d’un système de sandbox codé en JavaScript qui est utilisé par certains logiciels, notamment des éditeurs de code, des outils de sécurité et des frameworks de pentesting.
SeungHyun Lee , un chercheur en sécurité coréen, a publié un exploit PoC qui permet d’exécuter du code (malveillant ou non) sur un hôte utilisant le système de sandbox VM2. Autrement dit, on échappe au système de sandbox. Sur le GitHub de ce chercheur, on peut consulter le code de l’exploit PoC qui lui a permis de créer un fichier nommé « pwned » sur la machine hôte.
Avant cela, au cours des deux dernières semaines, plusieurs chercheurs en sécurité ont divulgué des failles dans VM2, avec à chaque fois la possibilité de contourner le système de bac à sable pour exécuter du code malveillant. D’ailleurs, il y a plusieurs références CVE associées à ces vulnérabilités : CVE-2023-29017, CVE-2023-29199 et CVE-2023-30547.
Cet article fait surtout référence à la faille de sécurité critique associée à la référence CVE-2023-30547 et qui hérite d’un méchant score CVSS de 9.8 sur 10. À cause d’elle, la fonction de protection handleException() de VM2 échoue, ce qui offre la possibilité à l’attaquant d’exécuter du code sur la machine hôte.
Dès à présent, il est recommandé à tous les utilisateurs de passer sur la version 3.9.17 de VM2 puisqu’elle corrige cette faille de sécurité. Pour les développeurs qui utilisent la librairie VM2, il convient aussi de mettre à jour leur application avec cette nouvelle version.
Cela est d’autant plus important qu’il existe un exploit PoC…. Ce qui va surement faciliter le travail des cybercriminels qui aimeraient exploiter cette vulnérabilité.
Si vous avez des noms d’applications qui utilisent cette librairie, je suis preneur !