Skip to content

VirtualBox Core DoS (CVE-2021-2442)

Lokal, high-privileged bir guest, VirtualBox host NAT path'inde bir integer-underflow/out-of-bounds read sürebilir ve VirtualBox'ı hang ettirebilir ya da tekrarlanabilir biçimde crash ettirebilir (denial of service).

Mechanism

Bug class / invariant

VirtualBox, guest device'larını ve networking'i host VMM process'inde emüle eder. Invariant şudur: host-side emülasyona (burada NAT networking code'u) gelen guest-controlled input'lar, size'ları ya da offset'leri sürmeden önce validate edilmelidir.

CVE-2021-2442 availability-only bir açıktır (NVD: CWE atanmamış; kavramsal olarak bir out-of-bounds read'i besleyen bir integer underflow, CWE-191/CWE-125). Guest-supplied data'nın yetersiz validation'ı, bir length/index hesaplamasının yanlış gitmesine izin verir; böylece host emulator hedeflenen object'in dışını okur ve fault verir.

Kavramsal root cause, emulator trust gap'idir: bir guest value üzerinde eksik bir bounds/consistency check'i, benign network handling'i host VMM'i crash ettiren bir out-of-bounds read-class fault'una çevirir. Eşlik eden CVE-2021-2475 de aynı Core component'tir, yine yalnızca DoS.

Walkthrough

Yalnızca kavramsal

NVD ve public reporting'den (SentinelLabs / Max Van Amerongen) high-level model. Hiçbir exploit sağlanmıyor; etki crash/hang ile sınırlı.

  1. Host NAT/emülasyon path'ine ulaş. Privileged bir guest user, emulated networking code'unu crafted input ile sürer.
  2. Kötü length'i tetikle. Guest-controlled bir value underflow eder ya da beklenen aralığından kaçar ve bir read'de kullanılan oversized/negative bir size üretir.
  3. Host'u fault'la. Out-of-range read, VirtualBox process'ini crash ya da hang ettirir — advisory'ye göre "repeatable crash (complete DOS)"; public reporting bunun diğer VirtualBox VM'lerini de DoS edebileceğini belirtir.

Detection

Host / telemetry sinyalleri

  • VirtualBox process crash'leri/hang'leri: bir VM'e bağlı tekrarlanan VirtualBoxVM/VBoxHeadless fault'ları ya da hang'leri; crash dump'larını topla.
  • Host logları: guest network burst'leriyle korele olan assertion failure'ları ya da guru meditation'ları gösteren VBox.log girdileri.
  • EDR: VMM process'inin anormal termination/restart döngülerinde alert ver.

Mitigation

Patch & hardening

  • Oracle patch'ini uygula. VirtualBox 6.1.24'te düzeltildi (Oracle Critical Patch Update, Temmuz 2021); CVE-2021-2475 6.1.28'de düzeltildi (Ekim 2021 CPU).
  • Oracle Critical Patch Update'leri ile VirtualBox'ı güncel tut.
  • Exposure'ı azalt: mümkün olduğunda non-NAT networking modlarını tercih et ve yalnızca trusted guest'ler çalıştır.
  • Host'ta VM'leri least-privilege çalıştır ki bir VMM crash'i contained olsun.

References