Node.jsのvm2のサンドボックスからの脱出の脆弱性(Sandbreak: CVE-2022-36067)

OSS脆弱性ブログ

10/12/2022にNode.jsのvm2のサンドボックスからの脱出の脆弱性(Sandbreak: CVE-2022-36067)が公開されました。かなり緊急度の高い脆弱性です。今回は、こちらで脆弱性の情報等を纏めて取り上げていきます。

2022.10.122023.04.06

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面和毅です。

10/12/2022にNode.jsのvm2サンドボックスからの脱出の脆弱性(Sandbreak: CVE-2022-36067)が公開されました。かなり緊急度の高い脆弱性です。今回は、こちらで脆弱性の情報等を纏めて取り上げていきます。

vm2

vm2 はノードの組み込みモジュールで、信頼できないコードを安全に実行するためのサンドボックスです。

今回の脆弱性（Sandbreak）について

今回の脆弱性(Sandbreak)は、Oxeyeの研究者によって発見されました。この脆弱性はvm2のプロジェクトに共有され、修正された3.9.11がリリースされています。

情報はOxeyeのブログで公開されています。

Priority

CVE番号	影響するバージョン	一次情報源	Priority	CVSS Score / CVSS Vector
CVE-2022-36067	vm2 3.9.10以下のバージョン	Enter “Sandbreak” – Vulnerability In vm2 Sandbox Module Enables Remote Code Execution (CVE-2022-36067)	10.0 Critical Red Hat: 10.0 Critical	Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVE番号

影響するバージョン

一次情報源

Priority

CVSS Score / CVSS Vector

CVE-2022-36067

vm2 3.9.10以下のバージョン

Enter “Sandbreak” – Vulnerability In vm2 Sandbox Module Enables Remote Code Execution (CVE-2022-36067)

10.0 Critical

Red Hat: 10.0 Critical

Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

時系列

2022/08/16: Oxeyeの研究チームが問題を発見。発見の数日後にVM2チームに連絡
2022/08/28: 3.9.11がリリースされる

概要

Node.js のエラーメカニズムを悪用してサンドボックスを回避することができます。

Node.jsを使用すると、アプリケーション開発者は、アプリケーションで発生したエラーのコールスタックをカスタマイズできます。グローバルな「Error」オブジェクトの下に「prepareStacktrace」メソッドを実装することでコールスタックのカスタマイズが実現できます。

次のスクリーンショットは、「prepareStackTrace」関数を呼び出そうとする Node.js を示しています。


const maybeOverridePrepareStackTrace = (globalThsi, error, trace) => {
if (typeof globalThis.Error?.prepareStackTrace === 'function') {
return globalThis.Error.prepareStackTrace(error, trace);
}

Node.jsがこの「prepareStackTrace」メソッドを呼び出し「CallSite」オブジェクトの配列でエラーの文字列表現を引数として提供します。

「CallSite」オブジェクトによって公開されるメソッドの一つに「getThis」があります。この「getThis」メソッドを呼び出すと、一部の「CallSite」オブジェクトがサンドボックスの外で作成されたオブジェクトを返す可能性があり、この動作によりサンドボックスからの脱出（エスケープ）が発生する可能性があります。