Researchers Detail Privilege Escalation Bugs Reported in Oracle VirtualBox
2021/11/23 TheHackerNews — Oracle VM VirtualBox に存在する、すでにパッチが適用されている脆弱性だが、悪用されるとハイパーバイザーが危険にさらされ、サービス拒否 (DoS) 状態に陥る可能性がある。具体的に言うと、Oracle VM VirtualBox が実行されているインフラにログオンしている高権限の攻撃者は、Oracle VM VirtualBox を侵害することができる。この脆弱性を利用した攻撃に成功すると、Oracle VM VirtualBox のハングアップや頻繁に繰り返され、クラッシュを引き起こす可能性が生じる。
脆弱性 CVE-2021-2442 (CVSS :6.0) としては、Ver 6.1.24 以前の全バージョンに影響する。この問題は、SentinelLabs の研究者である Max Van Amerongen により発見/報告され、その後に、Critical Patch Update for July 2021 の一部として修正が行われている。
Oracle VM VirtualBox は、オープンソースでクロス・プラットフォームの、ハイパーバイザーおよび仮想デスクトップであり、1台の物理マシン上で、Windows/Linux/OpenBSD/Oracle Solaris などの、複数のゲスト OS を実行できる。
8月に Van Amerongen は、「ホスト・プロセスにおける境界外の読み取りと、整数アンダーフローの問題が存在する。場合によっては、他の Virtualbox 仮想マシンをリモートから DoS にすることも可能だ」と指摘している。また、一連の欠陥は、Ver 6.1.20 以前のバージョンに影響するが、Oracle が 2021年4月に修正した、以下の2つも含まれる。
- CVE-2021-2145 (CVSS:7.5) Oracle VirtualBox NAT の整数アンダーフローと権限昇格の脆弱性
- CVE-2021-2310 (CVSS :7.5) Oracle VirtualBox NAT のヒープ・バッファオーバーフローによる特権奪取の脆弱性
上記の問題は、いずれも NAT の実装に起因するもので、ユーザーが入力したデータに対する、不適切な検証が原因である。この2つの脆弱性の攻撃に成功すると、ローカルの攻撃者が特権を昇格させ、任意のコードを実行することで、脆弱な Oracle VM VirtualBox を完全に乗っ取ることが可能になる。脅威アクターは、パッチが適用されていない環境で、この脆弱性を利用して素早く行動するため、ユーザー企業は VirtualBox を最新バージョンに更新し、潜在的な悪用のリスクを軽減することが重要となる。
この脆弱性 CVE-2021-2442 ですが、キュレーション・チームに確認したとこと、CVSS 値は 9.9 とのことで、本文の情報とズレが有りました。また、Oracle Virtualization の脆弱性ですが、2018年以降は 1月/4月/7月/10月と、毎回の定例アップデートで問題が修正されていました。Oracle の場合は、四半期ごとにまとめて脆弱性情報が出てくるので、とても大変ですね。
IoT OT Security News 