Node.js 沙箱易受原型污染攻击
编译:代码卫士
Vm2的 GitHub 页面显示,该库是“一个能够通过白名单 Node 内置模块运行不可信代码的沙箱。安全地运行!”然而,CISPA 信息安全德国亥姆霍兹中心(德国的一个网络安全研究组织)发现该库易受原型污染攻击。
原型污染是JavaScript 和其它基于对象的语言中的一种漏洞类型,可使攻击者动态地将属性注入敏感对象中,运行任意代码。
如下发布的 PoC展示了几行代码即可利用该漏洞,在主机上执行原型污染和远程代码执行漏洞。
const {VM} = require("vm2");let vmInstance = new VM();
let code = ` res = eval('import(\\'./foo.js\\');') res.__proto__.__proto__.polluted = res.__proto__.__proto__.toString.constructor("return this")().process.mainModule.require("child_process").execSync("touch HACKED").toString();`;vmInstance.run(code);console.log(polluted);虽然该漏洞被称为“原型污染漏洞”,但协助发现并报告该漏洞的研究员 Cristian-Alexandru Staicu 表示,更好的说法应当是“沙箱突围”。
Staicu 表示,“在所发布的 PoC 中,我们同时展示了一个原型污染 payload 和一个任意代码执行漏洞。它们都是沙箱突围的结果。Vm2 应该阻止对全局对象/特权操作(如要求)的访问权限,我们展示了攻击者如何绕过该安全控制。”
虽然该漏洞并未提供主机设备的根访问权限,但它提供了对 Node.js API的完整访问权限,而这正是 vm2 试图限制的。“
研究人员在长达数月的时间里一直都在调查位于 JavaScript 沙箱中的漏洞。
3月份,研究人员报告了位于另外一个沙箱 isolated-vm 中的沙箱突围漏洞,可使攻击者获得对 Node.js 上下文 “function” 对象的引用。
研究人员还在至少三个其它沙箱库中发现了类似漏洞。由于目前还在漏洞提交阶段且补丁尚未发布,因此 Staicu 并未透露这些漏洞的详情。他指出,“截至目前,我们的调查结果显示通过 ES6 代理难以对 JavaScript 代码进行沙箱化。我们在多数所分析系统中发现了突围情况,因此在使用这些库执行恶意代码时必须非常小心。”
流行的 NPM 包依赖关系中存在远程代码执行缺陷
关于原型污染漏洞的完整指南
jQuery CVE-2019-11358 原型污染漏洞分析和修复建议
【漏洞预警】jQuery 前端库出现罕见的原型污染漏洞,影响范围广泛(含技术分析)
https://portswigger.net/daily-swig/node-js-sandboxes-are-open-to-prototype-pollution
https://snyk.io/vuln/SNYK-JS-VM2-1585918
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。