Bezpieczeństwo

VirtualBox z poważną luką - oto jak się zabezpieczyć

przeczytasz w 1 min.

Rosyjski specjalista odkrył, że w VirtualBox występuje dość niepokojąca podatność. Opublikował komplet informacji na ten temat z nadzieją, że Oracle szybko się z tym upora.

VirtualBox od Oracle to zdecydowanie najpopularniejszy menedżer maszyn wirtualnych. Ma miliony użytkowników, którzy – jak wynika z najnowszych informacji – mogą być narażeni na niebezpieczeństwo. 

Poważna luka w VirtualBox

Specjalista ds. cyberbezpieczeństwa z Petersburga nazwiskiem Sergey Zelenyuk opublikował informacje na temat luki typu 0-day, znajdującej się we wszystkich wersjach programu VirtualBox (nie wyłączając z tego grona najnowszej – 5.2.20).

Exploit pozwala atakującemu na uzyskanie dostępu do maszyny głównej i wykonywanie poleceń w jej systemie operacyjnym, jeśli tylko spełnionych zostanie kilka wymogów i to niestety wcale nie szczególnie trudnych do spełnienia.

VirtualBox logo

Otóż potrzebny jest dostęp do roota na maszynie wirtualnej, niezależnie od systemu, stworzonej ze standardowymi ustawieniami: z kartą sieciową Intel PRO/1000 MT Desktop (82540EM) w trybie NAT. Więcej szczegółów można znaleźć na GitHubie.

Jak się zabezpieczyć?

Sensowną opcją (przynajmniej do czasu załatania luki) wydaje się zmiana programu do obsługi maszyn wirtualnych. Zdajemy sobie jednak sprawę z tego, że dla wielu osób byłby to problem. Dlatego też można spróbować czegoś innego.

Ze względu bowiem na to, że podatność została stwierdzona tylko we wspomnianym, konkretnym przypadku, najprostszym sposobem na zabezpieczenie się jest zmiana ustawień. Przede wszystkim należałoby zmienić tryb NAT na inny.

VirtualBox NAT

O luce usłyszeliśmy, bo Zelenyuk się wkurzył

Zwykle tego typu luki są łatane po cichu. Sergey Zelenyuk nie zdecydował się jednak na poinformowanie samego Oracle i (być może) zgarnięcie nagrody finansowej, ponieważ nie podoba mu się, jak wygląda cały ten proces.

Wcześniej zgłosił bowiem podobną podatność firmie Oracle i na wyeliminowanie jej musiał czekać wiele miesięcy. Rosjanin ma nadzieję, że upublicznienie informacji zadziała na producenta motywująco. A co w ogóle zajmuje tyle czasu? Ano między innymi konieczność weryfikacji oraz ustalenia, czy i jak duża nagroda należy się „odkrywcy”. 

Źródło: ZDNet, Bleeping Computer, GitHub. Foto: Pixies/Pixabay (CC0)

Komentarze

6
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Kenjiro
    1
    Akurat Oracle sobie generalnie olewa zgłoszenia, a zabiera się do pracy dopiero jak temat zaczyna być poważny, bo np. wycieka do prasy. To samo jest z MySQL.
    Wyjątkiem jest np. dział Solaris, tam chyba pracują kompletnie inni ludzie.
    • avatar
      klosz007
      -3
      VirtualBox jest najpopularniejszy gdzie ?
      • avatar
        tomik23
        -4
        Jestem ciekaw kto jeszcze czegoś takiego jak VirtualBox używa jak mamy np. kubernetes i docker
        • avatar
          kashpir
          0
          Czyli "exploit" pozwala osobom z uprawnieniami roota na wykonywanie poleceń w systemie operacyjnym?
          To ja się nie dziwię, że to zgłoszenie olali :D
          • avatar
            Biurokrata
            0
            Dobry program, b. stabilny, jedyny minus jak dla mnie, to brak możliwości zmiany lokalizacji foldera ze snapshotami.

            Witaj!

            Niedługo wyłaczymy stare logowanie.
            Logowanie będzie możliwe tylko przez 1Login.

            Połącz konto już teraz.

            Zaloguj przez 1Login