The Hacker Newsは10月11日(米国時間)、「Researchers Detail Critical RCE Flaw Reported in Popular vm2 JavaScript Sandbox」において現在パッチが適用されているJavaScriptサンドボックスモジュール「vm2」のセキュリティ上の欠陥について伝えた。攻撃者によってリモートからセキュリティバリアが突破され、基盤となるマシン上で任意の操作を実行するために悪用される可能性のある重大な脆弱性がvm2に存在していたことが判明した。
vm2は、信頼できないコードを許可リストに登録された組み込みモジュールで実行するために使用されているポピュラーなNode.jsライブラリ。広くダウンロードされているNode.jsライブラリの一つだ。この人気のNodeライブラリに重大な脆弱性があることが、セキュリティベンダーのOxeyeの調査によって明らかとなった。
Oxeyeによると、このセキュリティ上の欠陥はサンドボックスを回避するためにNode.jsのエラーメカニズムが悪用されているという。コードネーム「Sandbreak」と名付けられたこの問題は「CVE-2022-36067」として特定されており、CVSSv3のスコア値が最大の10.0で、深刻度が緊急(Critical)に位置づけられている。攻撃者がCVE-2022-36067の悪用に成功するとvm2のサンドボックス環境を回避し、サンドボックスをホストしているシステム上でシェルコマンドを実行することが可能になるとされている。
Sandbreakは8月28日にリリースされたvm2 3.9.11のバージョンで修正されている。CVSSv3のスコア値が最大ということもあり、vvm2を利用しているユーザーは、可能な限り速やかに最新版にアップデートすることが強く推奨されている。