Technical Details Released for CVE-2024-21115 Vulnerability Reported in VM VirtualBox
2024/05/10 SecurityOnline — Oracle における 仮想化で、広く使われている Oracle VM VirtualBox で発見された、深刻なセキュリティ脆弱性 CVE-2024-21115 について、技術的な詳細が明らかになった。この脆弱性が悪用されると、VirtualBox 環境の完全な乗っ取りにつながる可能性が生じる。
脆弱性 CVE-2024-21115 は、境界外書き込みの欠陥であり、Oracle VM VirtualBox のバージョン 7.0.16 未満に影響を与える。この脆弱性は、ログオン画面にアクセスできる、低権限の攻撃者に悪用される可能性があり、複数のユーザーが仮想化インフラにアクセスする環境で、特に問題となる脅威である。この脆弱性の CVSS 値は 8.8 であり、システムの機密性/完全性/可用性に大きく影響することが示されている。
1つのホスト・システム上で複数の仮想マシンを実行するために、VirtualBox が使用されることが多い。したがって、悪用に成功した攻撃者は、これらの仮想マシン内で実行されている他のソフトウェアを侵害する可能性も持つ。
この脆弱性は、Pwn2Own Vancouver 2024 のコンペティションで、セキュリティ研究者 Cody Gallagher が証明したものであり、彼はエクスプロイトのデモンストレーションに成功し、$20,000 の報奨金を受け取った。
先日に Cody Gallagher は、この脆弱性に関する詳細なレポートを発表し、技術的なニュアンスやバグが誘発される条件について説明している。
Cody Gallagher は、「この脆弱性の核心は、vgaR3UpdateDisplay から呼び出される vgaR3DrawBlank 関数にある。この欠陥には、VGA デバイスによるヒープ上の小さなクリアが関与しており、Linux のデフォルト Graphics Controller (VMSVGA) を使用することで、僅か1つのプロセッサ・コアと 32MB の VRAM でトリガーできる」と指摘している。
彼の調査結果は、この脆弱性が、他のグラフィックス・コントローラにも影響を及ぼす可能性を指摘しており、当初の評価よりも広範な影響があることが示唆される。
Oracle は、この深刻な脆弱性に対応するため、2024年4月にパッチをリリースし、VirtualBox のバージョン 7.0.16 以降においてアップデートを行った。Oracle VM VirtualBox のユーザーに強く推奨されるのは、潜在的な悪用を防ぐため、システムを最新バージョンにアップデートすることである。この脆弱性の性質と悪用の容易さを考慮すると、影響を受ける全システムにおいて直ちにアップデートを行い、攻撃の可能性から保護すべきである。
つい先日の 2024/04/22 にも、「Oracle VirtualBox の脆弱性 CVE-2024-21111 に PoC:2024/04 Critical Patch で対処済み」という記事がポストされていました。そして、今日の記事は、Pwn2Own Vancouver 2024 での悪用の証明なので、文中には明記されていませんが、PoC が存在する脆弱性だと、認識すべきものなのでしょう。よろしければ、Oracle で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.