🛑ด่วน! ช่องโหว่ร้ายแรง Sandbox Escape ใน vm2 (Node.js)

NCSA_THAICERT

️ ThaiCERT ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบการเปิดเผยช่องโหว่ความรุนแรงระดับวิกฤติในไลบรารี vm2 ซึ่งใช้เพื่อรัน JavaScript ที่ไม่น่าเชื่อถือในสภาพแวดล้อมแบบ Sandbox มีความรุนแรงระดับ Critical เปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดบนโฮสต์หรือเซิร์ฟเวอร์จริงได้

1. รายละเอียดช่องโหว่:

ช่องโหว่ CVE-2026-22709 เป็นช่องโหว่ระดับวิกฤติ (CVSS 9.8) ในไลบรารี vm2 ซึ่งมีหน้าที่สร้างพื้นที่แยกสำหรับรันโค้ด JavaScript ให้ทำงานอยู่ภายในกรอบที่กำหนด ช่องโหว่นี้อาจทำให้โค้ดที่ควรถูกจำกัดอยู่ภายใน sandbox สามารถข้ามข้อจำกัด และทำงานบนโฮสต์ได้ หากระบบนำ vm2 ไปใช้เพื่อรันโค้ดที่ผู้ใช้ที่ส่งเข้ามาหรือโค้ดจากแหล่งที่ไม่น่าเชื่อถือ ผู้โจมตีอาจใช้ช่องโหว่เพื่อสั่งให้ระบบดำเนินการด้วยสิทธิ์ของโปรแกรมที่ให้บริการอยู่ ส่งผลให้เกิดความเสี่ยงต่อการเข้าถึงข้อมูลสำคัญ การแก้ไขไฟล์หรือการตั้งค่า การติดตั้งมัลแวร์ และอาจนำไปสู่การเข้าควบคุมระบบได้

2. ผลิตภัณฑ์ที่ได้รับผลกระทบ:

vm2 (npm package) เวอร์ชันที่ต่ำกว่า 3.10.2

3. แนวทางการแก้ไข:

อัปเดต vm2 เป็นเวอร์ชัน 3.10.2 หรือใหม่กว่า (แนะนำให้อัปเดตเป็นรุ่นล่าสุดที่ผู้พัฒนาเผยแพร่)

4. คำแนะนำด้านความปลอดภัยเพิ่มเติม

   4.1 ระงับหรือจำกัดฟังก์ชัน ที่เปิดให้รันโค้ดจากผู้ใช้หรือแหล่งที่ไม่น่าเชื่อถือผ่าน vm2 ชั่วคราว เพื่อลดโอกาสถูกโจมตี
   4.2 แยกส่วนการรันโค้ด ไปอยู่ในสภาพแวดล้อมที่จำกัดสิทธิ์มากขึ้น เช่น แยกโปรเซสหรือแยกเครื่อง จำกัดสิทธิ์ของระบบปฏิบัติการ เพื่อลดผลกระทบหากเกิด Sandbox Escape
   4.3 เฝ้าระวังพฤติกรรมผิดปกติบนโฮสต์ เช่น การเรียกใช้คำสั่งระบบ การเขียนไฟล์ผิดปกติ สำหรับบริการที่มีการใช้งาน vm2

5. แหล่งอ้างอิง (References)
   5.1 https://dg.th/h5je0gi79k
   5.2 https://dg.th/xf0hizpl5n