7 listopada 2018, Wojciech Kulik

VirtualBox z poważną luką - oto jak się zabezpieczyć

Kategoria: Komputery Oprogramowanie Ciekawostki Bezpieczeństwo, Tematyka: Oracle Na Topie

Rosyjski specjalista odkrył, że w VirtualBox występuje dość niepokojąca podatność. Opublikował komplet informacji na ten temat z nadzieją, że Oracle szybko się z tym upora.

VirtualBox od Oracle to zdecydowanie najpopularniejszy menedżer maszyn wirtualnych. Ma miliony użytkowników, którzy – jak wynika z najnowszych informacji – mogą być narażeni na niebezpieczeństwo. 

Poważna luka w VirtualBox

Specjalista ds. cyberbezpieczeństwa z Petersburga nazwiskiem Sergey Zelenyuk opublikował informacje na temat luki typu 0-day, znajdującej się we wszystkich wersjach programu VirtualBox (nie wyłączając z tego grona najnowszej – 5.2.20).

Exploit pozwala atakującemu na uzyskanie dostępu do maszyny głównej i wykonywanie poleceń w jej systemie operacyjnym, jeśli tylko spełnionych zostanie kilka wymogów i to niestety wcale nie szczególnie trudnych do spełnienia.

VirtualBox logo

Otóż potrzebny jest dostęp do roota na maszynie wirtualnej, niezależnie od systemu, stworzonej ze standardowymi ustawieniami: z kartą sieciową Intel PRO/1000 MT Desktop (82540EM) w trybie NAT. Więcej szczegółów można znaleźć na GitHubie.

Jak się zabezpieczyć?

Sensowną opcją (przynajmniej do czasu załatania luki) wydaje się zmiana programu do obsługi maszyn wirtualnych. Zdajemy sobie jednak sprawę z tego, że dla wielu osób byłby to problem. Dlatego też można spróbować czegoś innego.

Ze względu bowiem na to, że podatność została stwierdzona tylko we wspomnianym, konkretnym przypadku, najprostszym sposobem na zabezpieczenie się jest zmiana ustawień. Przede wszystkim należałoby zmienić tryb NAT na inny.

VirtualBox NAT

O luce usłyszeliśmy, bo Zelenyuk się wkurzył

Zwykle tego typu luki są łatane po cichu. Sergey Zelenyuk nie zdecydował się jednak na poinformowanie samego Oracle i (być może) zgarnięcie nagrody finansowej, ponieważ nie podoba mu się, jak wygląda cały ten proces.

Wcześniej zgłosił bowiem podobną podatność firmie Oracle i na wyeliminowanie jej musiał czekać wiele miesięcy. Rosjanin ma nadzieję, że upublicznienie informacji zadziała na producenta motywująco. A co w ogóle zajmuje tyle czasu? Ano między innymi konieczność weryfikacji oraz ustalenia, czy i jak duża nagroda należy się „odkrywcy”. 

Źródło: ZDNet, Bleeping Computer, GitHub. Foto: Pixies/Pixabay (CC0)

Komentarze

  • Kenjiro, #

    Akurat Oracle sobie generalnie olewa zgłoszenia, a zabiera się do pracy dopiero jak temat zaczyna być poważny, bo np. wycieka do prasy. To samo jest z MySQL.
    Wyjątkiem jest np. dział Solaris, tam chyba pracują kompletnie inni ludzie.

  • kashpir, #

    Czyli "exploit" pozwala osobom z uprawnieniami roota na wykonywanie poleceń w systemie operacyjnym?
    To ja się nie dziwię, że to zgłoszenie olali :D

  • tomik23, #

    Jestem ciekaw kto jeszcze czegoś takiego jak VirtualBox używa jak mamy np. kubernetes i docker

  • Biurokrata, #

    Dobry program, b. stabilny, jedyny minus jak dla mnie, to brak możliwości zmiany lokalizacji foldera ze snapshotami.

  • klosz007, #

    VirtualBox jest najpopularniejszy gdzie ?

  • klosz007, #

    Z takimi określeniami należy uważać jak "zdecydowanie najpopularniejszy". Być może wśród domowych użytkowników tak jest bo QEMU/KVM to tylko pod Linuxa a VMWare Workstation nie jest darmowe i dość drogie.

    Ciężko jednak zakladać że każdy w domu używa tego typu wirtualizacji, to raczej garstka zaawansowanych użytkowników którzy mają jakieś maszyny wirtualne. Hyperwisory to domena firm a tam rządzi ESX a daleko za nimi Hyper-V i KVM.
    Więc stawiam tezę że globalnie zdecydowanie najpoluarniejszym hyperwisorem jest VMWare ESX...

Dodaj komentarz

Dodawanie komentarzy tylko w wersji dla PC. Już wkrótce wersja mobilna.

Nie przegap

Szanowny Czytelniku.

Aby dalej móc dostarczać Ci materiały redakcyjne i udostępniać nasze usługi, pozostając w zgodzie z zasadami RODO, potrzebujemy również zgody na ewentualne dopasowywanie treści marketingowych do Twojego zachowania. Dbamy o Twoją prywatność. Nie zwiększamy zakresu naszych uprawnień. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności. Dowiedz się więcej.