Bezpieczeństwo

VirtualBox z poważną luką - oto jak się zabezpieczyć

opublikowano przez Wojciech Kulik w dniu 2018-11-07

Rosyjski specjalista odkrył, że w VirtualBox występuje dość niepokojąca podatność. Opublikował komplet informacji na ten temat z nadzieją, że Oracle szybko się z tym upora.

VirtualBox od Oracle to zdecydowanie najpopularniejszy menedżer maszyn wirtualnych. Ma miliony użytkowników, którzy – jak wynika z najnowszych informacji – mogą być narażeni na niebezpieczeństwo. 

Poważna luka w VirtualBox

Specjalista ds. cyberbezpieczeństwa z Petersburga nazwiskiem Sergey Zelenyuk opublikował informacje na temat luki typu 0-day, znajdującej się we wszystkich wersjach programu VirtualBox (nie wyłączając z tego grona najnowszej – 5.2.20).

Exploit pozwala atakującemu na uzyskanie dostępu do maszyny głównej i wykonywanie poleceń w jej systemie operacyjnym, jeśli tylko spełnionych zostanie kilka wymogów i to niestety wcale nie szczególnie trudnych do spełnienia.

VirtualBox logo

Otóż potrzebny jest dostęp do roota na maszynie wirtualnej, niezależnie od systemu, stworzonej ze standardowymi ustawieniami: z kartą sieciową Intel PRO/1000 MT Desktop (82540EM) w trybie NAT. Więcej szczegółów można znaleźć na GitHubie.

Jak się zabezpieczyć?

Sensowną opcją (przynajmniej do czasu załatania luki) wydaje się zmiana programu do obsługi maszyn wirtualnych. Zdajemy sobie jednak sprawę z tego, że dla wielu osób byłby to problem. Dlatego też można spróbować czegoś innego.

Ze względu bowiem na to, że podatność została stwierdzona tylko we wspomnianym, konkretnym przypadku, najprostszym sposobem na zabezpieczenie się jest zmiana ustawień. Przede wszystkim należałoby zmienić tryb NAT na inny.

VirtualBox NAT

O luce usłyszeliśmy, bo Zelenyuk się wkurzył

Zwykle tego typu luki są łatane po cichu. Sergey Zelenyuk nie zdecydował się jednak na poinformowanie samego Oracle i (być może) zgarnięcie nagrody finansowej, ponieważ nie podoba mu się, jak wygląda cały ten proces.

Wcześniej zgłosił bowiem podobną podatność firmie Oracle i na wyeliminowanie jej musiał czekać wiele miesięcy. Rosjanin ma nadzieję, że upublicznienie informacji zadziała na producenta motywująco. A co w ogóle zajmuje tyle czasu? Ano między innymi konieczność weryfikacji oraz ustalenia, czy i jak duża nagroda należy się „odkrywcy”. 

Źródło: ZDNet, Bleeping Computer, GitHub. Foto: Pixies/Pixabay (CC0)

marketplace
avatar
Dodaj
  • avatar
    Akurat Oracle sobie generalnie olewa zgłoszenia, a zabiera się do pracy dopiero jak temat zaczyna być poważny, bo np. wycieka do prasy. To samo jest z MySQL.
    Wyjątkiem jest np. dział Solaris, tam chyba pracują kompletnie inni ludzie.
  • avatar
    VirtualBox jest najpopularniejszy gdzie ?
    Zaloguj się
    -3
  • avatar
    Jestem ciekaw kto jeszcze czegoś takiego jak VirtualBox używa jak mamy np. kubernetes i docker
  • avatar
    Czyli "exploit" pozwala osobom z uprawnieniami roota na wykonywanie poleceń w systemie operacyjnym?
    To ja się nie dziwię, że to zgłoszenie olali :D
  • avatar
    Dobry program, b. stabilny, jedyny minus jak dla mnie, to brak możliwości zmiany lokalizacji foldera ze snapshotami.