Development

Dit is een bijdrage van SentinelOne
Security
SnetinelOne onderzoek

SentinelLabs-onderzoekers vinden drie kwetsbaarheden in Oracle VirtualBox

Kwetsbaarheden maken programma-overname en DoS-aanvallen mogelijk

1 december 2021
Door: SentinelOne, partner

Kwetsbaarheden maken programma-overname en DoS-aanvallen mogelijk

Onderzoekers van SentinelLabs, de onderzoeksafdeling van SentinelOne, hebben drie kwetsbaarheden ontdekt in de Oracle VM VirtualBox - virtualisatietool. De beveiligingslekken kunnen onder andere door een aanvaller worden misbruikt om de hypervisor te compromitteren en een Denial of Service (DoS)-status te veroorzaken. De kwetsbaarheden worden allemaal vermeld in het CVE-register en zijn al gepatcht in de huidige versies van de software. Gebruikers met oudere versies moeten een update uitvoeren om het probleem op te lossen.

Virtualisatie en exploitatie van VirtualBox-kwetsbaarheden
Oracle VM VirtualBox is een open-source en platformonafhankelijke hypervisor- en desktopvirtualisatiesoftware waarmee gebruikers meerdere besturingssystemen zoals Windows, Linux-distributies, OpenBSD en Oracle Solaris op één fysieke computer kunnen draaien.

Virtualisatie is een uiterst complexe discipline. De complexiteit die gepaard gaat met zowel emulatie van hardware-apparaten als het veilig routeren van gegevens naar echte hardware is groot. Helaas geldt als een van de fundamentele regels in cybersecurity, waar complexiteit is, zijn bugs. 

De drie kwetsbaarheden die SentinelLabs heeft ontdekt in Oracle VM VirtualBox zijn:

1. CVE-2021-2145: Beveiligingslek met betrekking tot escalatie van underflow-rechten in Oracle VirtualBox NAT

De ondersteunde versie waarin dit probleem optreedt, is ouder dan 6.1.20. Door de kwetsbaarheid kunnen aanvallers met hoge bevoegdheden zich aanmelden bij de infrastructuur waarop Oracle VM VirtualBox draait om Oracle VM VirtualBox te compromitteren.

2. CVE-2021-2310: Beveiligingslek met betrekking tot escalatie van bufferoverlooprechten in Oracle VirtualBox NAT Heap

De ondersteunde versie waarin dit probleem optreedt, is ouder dan 6.1.20. Hoewel de kwetsbaarheid zich in Oracle VM VirtualBox bevindt, kunnen aanvallen ook andere producten treffen. Succesvolle aanvallen op dit beveiligingslek kunnen leiden tot de overname van Oracle VM VirtualBox.

3. CVE-2021-2442: Oracle VirtualBox NAT UDP Header Out-of-Bounds

De ondersteunde versie waarin dit probleem optreedt, is ouder dan 6.1.24. Via deze kwetsbaarheid kunnen aanvallers met hoge bevoegdheden zich aanmelden bij de infrastructuur waarop Oracle VM VirtualBox draait om Oracle VM VirtualBox te compromitteren. Hoewel de kwetsbaarheid zich in Oracle VM VirtualBox bevindt, kunnen aanvallen ook andere producten treffen. Succesvolle aanvallen op dit beveiligingslek kunnen ertoe leiden dat Oracle VM VirtualBox door onbevoegden wordt gestopt door middel van vaak herhaalde crashes (volledige DOS).

Bekendmaking tegenmaatregelen
De bevindingen werden door SentinelLabs proactief gerapporteerd aan het Zero Day Initiative en Oracle. Vanaf dit moment heeft SentinelOne geen bewijs ontdekt van succesvolle gevallen van misbruik van het protocol door cybercriminelen. Updatepatches voor de beveiligingslekken zijn te vinden in de nieuwste versie van het Oracle Critical Patch Update Advisory.

Omdat threat actors snel handelen om misbruik te maken van een kwetsbaarheid, is het absoluut noodzakelijk dat bedrijven en thuisgebruikers hun VirtualBox-installaties upgraden naar de nieuwste versie om het risico op mogelijk misbruik te verminderen.

Voor meer technische details over de ontdekte kwetsbaarheden, zie het volledige rapport van SentinelLabs: https://www.sentinelone.com/labs/gsoh-no-hunting-for-vulnerabilities-in-virtualbox-network-offloads/

Reactie toevoegen