VirtualBox Core DoS (CVE-2021-2442)¶
Lokal, high-privileged bir guest, VirtualBox host NAT path'inde bir integer-underflow/out-of-bounds read sürebilir ve VirtualBox'ı hang ettirebilir ya da tekrarlanabilir biçimde crash ettirebilir (denial of service).
Mechanism¶
Bug class / invariant
VirtualBox, guest device'larını ve networking'i host VMM process'inde emüle eder. Invariant şudur: host-side emülasyona (burada NAT networking code'u) gelen guest-controlled input'lar, size'ları ya da offset'leri sürmeden önce validate edilmelidir.
CVE-2021-2442 availability-only bir açıktır (NVD: CWE atanmamış; kavramsal olarak bir out-of-bounds read'i besleyen bir integer underflow, CWE-191/CWE-125). Guest-supplied data'nın yetersiz validation'ı, bir length/index hesaplamasının yanlış gitmesine izin verir; böylece host emulator hedeflenen object'in dışını okur ve fault verir.
Kavramsal root cause, emulator trust gap'idir: bir guest value üzerinde eksik bir bounds/consistency check'i, benign network handling'i host VMM'i crash ettiren bir out-of-bounds read-class fault'una çevirir. Eşlik eden CVE-2021-2475 de aynı Core component'tir, yine yalnızca DoS.
Walkthrough¶
Yalnızca kavramsal
NVD ve public reporting'den (SentinelLabs / Max Van Amerongen) high-level model. Hiçbir exploit sağlanmıyor; etki crash/hang ile sınırlı.
- Host NAT/emülasyon path'ine ulaş. Privileged bir guest user, emulated networking code'unu crafted input ile sürer.
- Kötü length'i tetikle. Guest-controlled bir value underflow eder ya da beklenen aralığından kaçar ve bir read'de kullanılan oversized/negative bir size üretir.
- Host'u fault'la. Out-of-range read, VirtualBox process'ini crash ya da hang ettirir — advisory'ye göre "repeatable crash (complete DOS)"; public reporting bunun diğer VirtualBox VM'lerini de DoS edebileceğini belirtir.
Detection¶
Host / telemetry sinyalleri
- VirtualBox process crash'leri/hang'leri: bir VM'e bağlı tekrarlanan
VirtualBoxVM/VBoxHeadlessfault'ları ya da hang'leri; crash dump'larını topla. - Host logları: guest network burst'leriyle korele olan assertion failure'ları ya da guru meditation'ları gösteren VBox.log girdileri.
- EDR: VMM process'inin anormal termination/restart döngülerinde alert ver.
Mitigation¶
Patch & hardening
- Oracle patch'ini uygula. VirtualBox 6.1.24'te düzeltildi (Oracle Critical Patch Update, Temmuz 2021); CVE-2021-2475 6.1.28'de düzeltildi (Ekim 2021 CPU).
- Oracle Critical Patch Update'leri ile VirtualBox'ı güncel tut.
- Exposure'ı azalt: mümkün olduğunda non-NAT networking modlarını tercih et ve yalnızca trusted guest'ler çalıştır.
- Host'ta VM'leri least-privilege çalıştır ki bir VMM crash'i contained olsun.