حذاري ثغرة خطيرة 0day في برنامج VirtualBox

حذاري ثغرة خطيرة zero-day في برنامج الانظمة الوهمية VirtualBox

اكتشف باحث أمني روسي  سيرغي زيلينيوك  Sergey Zelenyuk ثغرة خطيرة من نوع  Zero-Day  في برنامج الانظمة الوهمية VirtualBox التابع لشركة اوراكل Oracle  بحيث يمكن استعمال هذه الثغرة في تشغيل فيروس في النظام الوهمي فينتقل مباشرة الى النظام الحقيقي المستضيف.

تبلغ خطورة هذه الثغرة بأنها تصيب حتى الباحثين في مجال الأمن المعلوماتي لأن الكثير منهم  يستخدم برنامج VirtualBox بشكل منتظم لتحليل الفيروسات و الهندسة العكسية للبرامج الضارة. فيمكن لمطوري البرمجيات الخبيثة تضمين مجموعة من ثغرات Zero-Day  داخل البرمجيات الخبيثة بنية تشغيلها في VirtualBox ثم تنتقل لإصابة أنظمة التشغيل المضيفة Host الخاصة بالباحثين.

والغريب في الأمر أن هذا الباحث الروسي لم يقم حتى بإبلاغ الشركة ولا محاولة بيع الثغرة في الديب ويب.

وقد أفصح عن الأسباب قائلا.

أنا أحب برنامج VirtualBox ولكن هذا ليس السبب في نشر الثغرة 0day على العام.
السبب هو عدم موافقتي على حالة أمن المعلومات InfoSec المعاصرة ، وخاصة الأبحاث الأمنية و bug bounty حيث يجب عليك الانتظار نصف عام حتى يتم تصحيح الثغرة .

وعند التبليغ عليك انتظار أكثر من شهر حتى يتم التحقق من الثغرة المرسلة ويتم اتخاذ قرار بالشراء أو عدم الشراء.

وقد يتم تغيير القرار من الشركة على الطاير. وحتى ان اشترت الثغرة  في برنامج المكافآت ، بعد أسبوع تصنف هذه الثغرة  وتلقي "غير مهم". ليس لديهم قائمة دقيقة من البرامج التي تهتم bounds of vulnerability.
عدم تحديد الحدود الدنيا والعليا لأسعار الثغرات.
هناك العديد من الأشياء التي تؤثر على السعر ولكن الباحثين بحاجة إلى معرفة ما يستحق العمل وما هو غير ذلك.
جنون العظمة وهم  والتسويق هراء, تسمى نقاط ضعف ثم يتم إنشاء مواقع لهم. و تنظيم  ألف مؤتمر في السنة , والمبالغة في أهمية الوظيفة الخاصة كباحث أمن ؛ تعتبر نفسك "منقذًا عالميًا".  أنا منهك من الأولين ، وبالتالي فإن عملي هو الإفصاح الكامل. Infosec ، فيرجى المضي قدما.

معلومات عامة عن الثغرة Zero day VirtualBox

• الثغرة تصيب جميع الاصدارات و الاقدم من 5.2.20

Vulnerable software: VirtualBox 5.2.20 and prior versions.

• لا يهم أي نظام مستظيف تستعمل, لأن الثغرة في قاعدة مشاركة الاكواد

Host OS: any, the bug is in a shared code base.

• تصيب أي نظام مستضاف

Guest OS: any.

• الثغرة موجودة بالدريفر الخاص بالشبكة والذي يحمل الاسم  Intel PRO/1000 MT 82540EM 

VM configuration: default (the only requirement is that a network card is Intel PRO/1000 MT Desktop (82540EM) and a mode is NAT).

كيف تحمي نفسك من الثغرة Zero-Day

يجب تثبيت نسخة جديدة من برنامج virtualbox تكون أحدث من الاصدار 5.2.20
أو تقوم بتغيير اعدادات الشبكة بحيث تغيرها من الوضع الافتراضي NAT الى بطاقة  PCNET لحين صدور تحديث جديد للبرنامج.

موقع نشر الثغرة هو Github

https://github.com/MorteNoir1/virtualbox_e1000_0day

حسابه على medium

https://medium.com/@MorteNoir