IMBAUAN KEAMANAN REMOTE CODE EXECUTION PADA SANDBOX JAVASCRIPT VM2 (CVE 2022-36067)

IMBAUAN KEAMANAN REMOTE CODE EXECUTION PADA SANDBOX JAVASCRIPT VM2 (CVE 2022-36067)

Posted by : Admin , Oct 13, 2022
Pendahuluan 
VM2 adalah JavaScript Sandbox yang menyediakan framework pengujian perangkat lunak yang mampu menjalankan kode yang untrusted code secara sinkron dalam satu proses. Sandbox melayani tujuan yang berbeda dalam aplikasi, seperti memeriksa file yang dilampirkan di server email, menyediakan lapisan keamanan tambahan di browser web, atau mengisolasi aplikasi yang berjalan secara aktif di sistem operasi tertentu. Tim Peneliti Oxeye menemukan kerentanan dengan dampak critical pada Sandbox yang mengarah pada Remote Code Execution (RCE). Kerentanan ini telah diinformasikan kepada Pemilik project dan pada tanggal 28 Agustus 2022 dilakukan penyesuaian pada versi 3.9.11. Kemudian, pada tanggal 06 September 2022 dideskripsikan dalam CVE-2022-36067. 
 
Nilai Kerentanan 
Berdasarkan CVSS 3.0, kerentanan ini memiliki nilai 10.0 yang dideskripsikan dalam CVE022-36067 dan dikategorikan sebagai severity CRITICAL.

Produk Terdampak 
Produk yang terdampak oleh CVE 2022-36067 adalah VM2 dengan versi di bawah 3.9.11. 
 
Detail dan Dampak Kerentanan 
Pada Bulan Agustus 2022, Tim Peneliti Oxeye menemukan kerentanan RCE pada VM2 yang selanjutnya dideskripsikan dalam CVE 2022-36067. RCE salah satu jenis kerentanan komputer yang paling berbahaya karena memungkinkan penyerang untuk menjalankan kode berbahaya dari jarak jauh dalam sistem target di jaringan lokal atau melalui Internet. Penyerang yang dapat memanfaatkan error mechanism di Node.js maka dapat dikatakan penyerang tersebut mampu mengeksploitasi kerentanan ini akan dapat melakukan bypass pada Environment Sandbox VM2 dan dapat menjalankan shell commands pada mesin yang menghostingnya. Mengingat sifat kasus penggunaan untuk Sandbox, jelas bahwa kerentanan VM2 dapat memiliki konsekuensi yang mengerikan untuk aplikasi yang menggunakan VM2 tanpa patch. Fakta bahwa kerentanan ini memiliki skor CVSS maksimum, dan sangat populer, berarti potensi dampaknya tersebar luas dan kritis.
 
Panduan Mitigasi 
Untuk melakukan pencegahan terhadap kerentanan CVE 2022-36067 dapat melakukan patching pada VM2 ke versi 3.9.11