Une vulnérabilité désormais corrigée affectant Oracle VM VirtualBox pourrait être potentiellement exploitée par un adversaire pour compromettre l’hyperviseur et provoquer une condition de déni de service (DoS).

« Une vulnérabilité facilement exploitable permet à un attaquant hautement privilégié avec une connexion à l’infrastructure où Oracle VM VirtualBox s’exécute de compromettre Oracle VM VirtualBox », l’avis lit. « Les attaques réussies de cette vulnérabilité peuvent entraîner une capacité non autorisée à provoquer un blocage ou un crash fréquemment répété (DoS complet) d’Oracle VM VirtualBox »

Suivi comme CVE-2021-2442 (score CVSS : 6.0), la faille affecte toutes les versions du produit antérieures à 6.1.24. SentinelLabs le chercheur Max Van Amerongen a été crédité d’avoir découvert et signalé le problème, à la suite de quoi des correctifs ont été déployés par Oracle dans le cadre de sa mise à jour des correctifs critiques pour juillet 2021.

Machine virtuelle Oracle VirtualBox est un hyperviseur open source et multiplateforme et un logiciel de virtualisation de bureau qui permet aux utilisateurs d’exécuter plusieurs systèmes d’exploitation invités tels que Windows, les distributions Linux, OpenBSD et Oracle Solaris sur une seule machine physique.

« Fonctionne à la fois comme une lecture hors limites dans le processus hôte, ainsi que comme un dépassement d’entier. Dans certains cas, il peut également être utilisé pour DoS à distance d’autres machines virtuelles Virtualbox », Van Amerongen c’est noté de retour en août.

Van Amerongen a également découvert deux autres failles affectant les versions antérieures à la 6.1.20 et résolu par Oracle en avril 2021 —

• CVE-2021-2145 (score CVSS : 7,5) : Vulnérabilité d’escalade de privilèges de sous-dépassement d’entier NAT d’Oracle VirtualBox NAT
• CVE-2021-2310 (score CVSS : 7,5) : Vulnérabilité d’escalade de privilèges de débordement de tampon basé sur Oracle VirtualBox NAT (affecte , corrigé en avril

Les deux problèmes susmentionnés résident dans le la mise en oeuvre de NAT qui découlent d’un manque de validation appropriée des données fournies par l’utilisateur. Les attaques réussies des deux lacunes peuvent permettre à un adversaire local d’élever les privilèges et d’exécuter du code arbitraire qui entraîne la prise de contrôle complète d’une Oracle VM VirtualBox vulnérable.

Étant donné que les acteurs de la menace sont connus pour agir rapidement pour tirer parti de la faille de sécurité offerte par les vulnérabilités non corrigées, il est essentiel que les organisations mettent à jour leurs installations VirtualBox vers la dernière version afin d’atténuer tout risque d’exploitation potentielle.