Các nhà nghiên cứu bảo mật đã tiết lộ một lỗ hổng bảo mật trong nền tảng virustotal mà có thể đã được vũ khí hóa để thực thi mã từ xa (RCE).
Các nhà nghiên cứu của Cysource, Shai Alfasi và Marlon Fabiano da Silva, cho biết lỗ hổng này có thể “thực thi các lệnh từ xa trong nền tảng VirusTotal và có quyền truy cập vào các khả năng quét khác nhau của nó”.
VirusTotal, một phần của công ty con bảo mật Chronicle của Google, là một dịch vụ quét phần mềm độc hại, phân tích các tệp và URL đáng ngờ, đồng thời kiểm tra vi-rút bằng cách sử dụng hơn 70 sản phẩm chống vi-rút của bên thứ ba.
Phương thức tấn công liên quan đến việc tải lên tệp DjVu thông qua giao diện người dùng web của nền tảng, sử dụng tệp này để kích hoạt khai thác lỗ hổng thực thi mã từ xa có mức độ nghiêm trọng cao trong ExifTool, một tiện ích mã nguồn mở được sử dụng để đọc và chỉnh sửa thông tin siêu dữ liệu EXIF trong hình ảnh và các tệp PDF.
Được theo dõi là CVE-2021-22204 (điểm CVSS: 7,8), lỗ hổng bảo mật có mức độ nghiêm trọng cao được đề cập là một trường hợp thực thi mã tùy ý phát sinh do xử lý sai các tệp DjVu của ExifTool. Sự cố đã được các nhà bảo trì vá lỗi trong bản cập nhật bảo mật được phát hành vào ngày 13 tháng 4 năm 2021.
Các nhà nghiên cứu lưu ý rằng hệ quả của việc khai thác như vậy là nó cấp quyền truy cập không chỉ vào môi trường do Google kiểm soát mà còn cho hơn 50 máy chủ nội bộ với các đặc quyền cấp cao.
Các nhà nghiên cứu cho biết: “Phần thú vị là mỗi khi chúng tôi tải lên một tệp có hàm băm mới chứa trọng tải mới, VirusTotal sẽ chuyển tiếp tải trọng đó đến các máy chủ khác,” các nhà nghiên cứu cho biết. “Vì vậy, không chỉ chúng tôi có RCE mà còn được chuyển tiếp bởi các máy chủ của Google tới mạng nội bộ của Google, khách hàng và đối tác của Google.”
Cysource cho biết họ đã báo cáo lỗi một cách có trách nhiệm thông qua Chương trình khen thưởng lỗ hổng bảo mật (VRP) của Google vào ngày 30 tháng 4 năm 2021, sau đó điểm yếu bảo mật đã được khắc phục ngay lập tức.
Đây không phải là lần đầu tiên lỗ hổng ExifTool nổi lên như một ống dẫn để thực thi mã từ xa. Năm ngoái, GitLab đã sửa một lỗ hổng nghiêm trọng (CVE-2021-22205, điểm CVSS: 10.0) liên quan đến việc xác thực không đúng hình ảnh do người dùng cung cấp, dẫn đến việc thực thi mã tùy ý.
.
