Баг Vagrant позволяет получить доступ ко всей файловой системе хоста

Во время экспериментов с VirtualBox эксперт наткнулся на серьезную уязвимость. Оказалось, что при запуске непривилегированной программы внутри Vagrant box (файл с полностью настроенной и готовой к использованию виртуальной средой), можно получить доступ на чтение и запись ко всей файловой системе.

Проблема кроется не в VirtualBox, а в неправильной конфигурации Vagrant. Исследователь также отметил, что это известный баг. Если вы используете ненадежный код внутри Vagrant box, вы должны явно указать переменную VAGRANT_DISABLE_VBOXSYMLINKCREATE, например, добавив:

export VAGRANT_DISABLE_VBOXSYMLINKCREATE=1

В файл .profile/.zprofile.

Vagrant по умолчанию устанавливает флаг SharedFoldersEnableSymlinksCreate для каждой синхронизированной папки, которую он создает. Причем vagrant share включена в каждом Vagrant box по умолчанию, если явно не указано обратное:

config.vm.synced_folder ".", "vagrant", disabled: true

«В документации могли бы более четко прописать последствия активации этого флага. Похоже, разработчики Vagrant полагают, что все боксы являются безоговорочно доверенными, однако это противоречит моим понятиям о безопасности. От Vagrant я ожидаю те же гарантии безопасности, которые предоставляет VirtualBox», — пишет специалист.

Общие папки в VirtualBox реализованы как служба HGCM (Host-Guest Communication Manager). HGCM включает довольно простой протокол RPC, через который гость может совершать вызовы функций, благодаря этому механизму реализовано несколько других фичей VirtualBox, завязанных на взаимодействии с гостем: совместное использование буфера обмена, Drag-and-drop и 3D-ускорение.

Чтобы инициировать вызов HGCM, например, читать или записывать файл внутри общей папки, запрос должен быть отправлен на специальное устройство VMM (Virtual Machine Monitor), доступное для каждой виртуальной машины через PCI. Для этого обычно требуются привилегии ядра.

Тем не менее, если установлены дополнения VirtualBox для гостя, запросы могут быть сделаны с помощью драйвера VBoxGuest, который открыт для доступа извне (т.е. непривилегированных процессов). Поскольку синхронизированные папки Vagrant используют возможности общих папок, боксы Vagrant обычно поставляются с уже добавленными дополнениями.

Эта уязвимость получила идентификатор CVE-2018-2693, «повышение привилегий».