SentinelLabs-onderzoekers vinden drie kwetsbaarheden in Oracle VirtualBox
Kwetsbaarheden in Oracle VM VirtualBox maken programma-overname en Denial of Service (DoS)-aanvallen door aanvallers mogelijk; updatepatch beschikbaar
Amsterdam, 26 november 2021 – Onderzoekers van SentinelLabs, de onderzoeksafdeling van SentinelOne, hebben drie kwetsbaarheden ontdekt in de Oracle VM VirtualBox – virtualisatietool. De beveiligingslekken kunnen onder andere door een aanvaller worden misbruikt om de hypervisor te compromitteren en een Denial of Service (DoS)-status te veroorzaken. De kwetsbaarheden worden allemaal vermeld in het CVE-register en zijn al gepatcht in de huidige versies van de software. Gebruikers met oudere versies moeten een update uitvoeren om het probleem op te lossen.
Virtualisatie en exploitatie van VirtualBox-kwetsbaarheden
Oracle VM VirtualBox is een open-source en platformonafhankelijke hypervisor- en desktopvirtualisatiesoftware waarmee gebruikers meerdere besturingssystemen zoals Windows, Linux-distributies, OpenBSD en Oracle Solaris op één fysieke computer kunnen draaien.
Virtualisatie is een uiterst complexe discipline. De complexiteit die gepaard gaat met zowel emulatie van hardware-apparaten als het veilig routeren van gegevens naar echte hardware is groot. Helaas geldt als een van de fundamentele regels in cybersecurity, waar complexiteit is, zijn bugs.
De drie kwetsbaarheden die SentinelLabs heeft ontdekt in Oracle VM VirtualBox zijn:
- CVE-2021-2145: Beveiligingslek met betrekking tot escalatie van underflow-rechten in Oracle VirtualBox NAT
De ondersteunde versie waarin dit probleem optreedt, is ouder dan 6.1.20. Door de kwetsbaarheid kunnen aanvallers met hoge bevoegdheden zich aanmelden bij de infrastructuur waarop Oracle VM VirtualBox draait om Oracle VM VirtualBox te compromitteren.
- CVE-2021-2310: Beveiligingslek met betrekking tot escalatie van bufferoverlooprechten in Oracle VirtualBox NAT Heap
De ondersteunde versie waarin dit probleem optreedt, is ouder dan 6.1.20. Hoewel de kwetsbaarheid zich in Oracle VM VirtualBox bevindt, kunnen aanvallen ook andere producten treffen. Succesvolle aanvallen op dit beveiligingslek kunnen leiden tot de overname van Oracle VM VirtualBox.
- CVE-2021-2442: Oracle VirtualBox NAT UDP Header Out-of-Bounds
De ondersteunde versie waarin dit probleem optreedt, is ouder dan 6.1.24. Via deze kwetsbaarheid kunnen aanvallers met hoge bevoegdheden zich aanmelden bij de infrastructuur waarop Oracle VM VirtualBox draait om Oracle VM VirtualBox te compromitteren. Hoewel de kwetsbaarheid zich in Oracle VM VirtualBox bevindt, kunnen aanvallen ook andere producten treffen. Succesvolle aanvallen op dit beveiligingslek kunnen ertoe leiden dat Oracle VM VirtualBox door onbevoegden wordt gestopt door middel van vaak herhaalde crashes (volledige DOS).
Bekendmaking tegenmaatregelen
De bevindingen werden door SentinelLabs proactief gerapporteerd aan het Zero Day Initiative en Oracle. Vanaf dit moment heeft SentinelOne geen bewijs ontdekt van succesvolle gevallen van misbruik van het protocol door cybercriminelen. Updatepatches voor de beveiligingslekken zijn te vinden in de nieuwste versie van het Oracle Critical Patch Update Advisory.
Omdat threat actors snel handelen om misbruik te maken van een kwetsbaarheid, is het absoluut noodzakelijk dat bedrijven en thuisgebruikers hun VirtualBox-installaties upgraden naar de nieuwste versie om het risico op mogelijk misbruik te verminderen.
Voor meer technische details over de ontdekte kwetsbaarheden, zie het volledige rapport van SentinelLabs: https://www.sentinelone.com/labs/gsoh-no-hunting-for-vulnerabilities-in-virtualbox-network-offloads/
Over SentinelOne
SentinelOne levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporingsfunctionaliteit combineert. Het SentinelOne platform is ontwikkeld met het oog op zeer hoog gebruiksgemak en bespaart gebruikers tijd dankzij de inzet van AI om automatisch en in realtime dreigingen binnen het bedrijf en in de cloud te elimineren. Daarnaast is het de enige oplossing die volledig inzicht biedt van edge tot cloud over het hele netwerk. Kijk voor meer informatie op www.sentinelone.com en op @SentinelOne, LinkedIn en Facebook.
Voor meer informatie
SentinelOne
Judith Veenhouwer
E-mail: judithv@sentinelone.com
Deepr
Nini Joostens / Winnie Silvertand
E-mail: sentinelone@deepr.nl