Faille de securite VM2 Sandbox Escape Avril 2023
Très utilisée par les logiciels, la librairie VM2 contient une faille de sécurité critique qui permet à l’attaquant d’exécuter du code malveillant sur la machine hôte. Faisons le point sur cette vulnérabilité.
La première question que l’on peut se poser, c’est : « qu’est-ce que la librairie VM2 ?« . Il s’agit d’un système de sandbox codé en JavaScript qui est utilisé par certains logiciels, notamment des éditeurs de code, des outils de sécurité et des frameworks de pentesting.
SeungHyun Lee , un chercheur en sécurité coréen, a publié un exploit PoC qui permet d’exécuter du code (malveillant ou non) sur un hôte utilisant le système de sandbox VM2. Autrement dit, on échappe au système de sandbox. Sur le GitHub de ce chercheur, on peut consulter le code de l’exploit PoC qui lui a permis de créer un fichier nommé « pwned » sur la machine hôte.
Avant cela, au cours des deux dernières semaines, plusieurs chercheurs en sécurité ont divulgué des failles dans VM2, avec à chaque fois la possibilité de contourner le système de bac à sable pour exécuter du code malveillant. D’ailleurs, il y a plusieurs références CVE associées à ces vulnérabilités : CVE-2023-29017, CVE-2023-29199 et CVE-2023-30547.
Cet article fait surtout référence à la faille de sécurité critique associée à la référence CVE-2023-30547 et qui hérite d’un méchant score CVSS de 9.8 sur 10. À cause d’elle, la fonction de protection handleException() de VM2 échoue, ce qui offre la possibilité à l’attaquant d’exécuter du code sur la machine hôte.
Dès à présent, il est recommandé à tous les utilisateurs de passer sur la version 3.9.17 de VM2 puisqu’elle corrige cette faille de sécurité. Pour les développeurs qui utilisent la librairie VM2, il convient aussi de mettre à jour leur application avec cette nouvelle version.
Cela est d’autant plus important qu’il existe un exploit PoC…. Ce qui va surement faciliter le travail des cybercriminels qui aimeraient exploiter cette vulnérabilité.
Si vous avez des noms d’applications qui utilisent cette librairie, je suis preneur !
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
Bots et IA biaisées : une menace silencieuse pour la cybersécurité des entreprises Introduction Les…
Cloudflare en Panne : Causes Officielles, Impacts et Risques pour les Entreprises Le 5 décembre…
Introduction La cybersécurité est aujourd’hui une priorité mondiale. Récemment, la CISA (Cybersecurity and Infrastructure Security…
La transformation numérique face aux nouvelles menaces Le cloud computing s’impose aujourd’hui comme un…
Les attaques par déni de service distribué (DDoS) continuent d'évoluer en sophistication et en ampleur,…
Face à l'adoption croissante des technologies d'IA dans les PME, une nouvelle menace cybersécuritaire émerge…
This website uses cookies.