Beveiligingsonderzoekers hebben een beveiligingsprobleem in het VirusTotal-platform onthuld dat mogelijk als wapen zou kunnen zijn gebruikt om externe code-uitvoering (RCE) te realiseren.
De fout, nu gepatcht, maakte het mogelijk om “op afstand opdrachten uit te voeren binnen het VirusTotal-platform en toegang te krijgen tot de verschillende scanmogelijkheden”, zeiden Cysource-onderzoekers Shai Alfasi en Marlon Fabiano da Silva in een verslag doen van exclusief gedeeld met The Hacker News.
VirusTotaalonderdeel van Google’s Chronicle-beveiligingsdochter, is een malware-scanservice die verdachte bestanden en URL’s analyseert en op virussen controleert met behulp van meer dan 70 antivirusproducten van derden.
De aanvalsmethode omvatte het uploaden van een DjVu-bestand via het platform webgebruikersinterfacegebruiken om een exploit te activeren voor een zeer ernstige fout bij het uitvoeren van externe code in ExifTooleen open-source hulpprogramma dat wordt gebruikt om EXIF-metadata-informatie in afbeeldings- en PDF-bestanden te lezen en te bewerken.
Bijgehouden als CVE-2021-22204 (CVSS-score: 7,8), de hoge ernst kwetsbaarheid in kwestie is een geval van uitvoering van willekeurige code die voortvloeit uit ExifTool’s verkeerde behandeling van DjVu-bestanden. Het probleem is verholpen door de beheerders in een beveiligingsupdate uitgebracht op 13 april 2021.
Een gevolg van een dergelijke exploitatie, zo merkten de onderzoekers op, was dat het toegang verleende tot niet alleen een door Google gecontroleerde omgeving, maar ook tot meer dan 50 interne hosts met hoge privileges.
“Het interessante is dat elke keer dat we een bestand uploadden met een nieuwe hash met een nieuwe payload, VirusTotal de payload doorstuurde naar andere hosts”, aldus de onderzoekers. “Dus we hadden niet alleen een RCE, maar deze werd ook door de servers van Google doorgestuurd naar het interne netwerk van Google, zijn klanten en partners.”
Cysource zei dat het de bug op verantwoorde wijze heeft gemeld via Google Vulnerability Reward-programma’s (VRP) op 30 april 2021, waarna de beveiligingszwakte onmiddellijk werd verholpen.
Dit is niet de eerste keer dat de ExifTool-fout naar voren komt als een kanaal om code op afstand uit te voeren. Vorig jaar repareerde GitLab een kritieke fout (CVE-2021-22205, CVSS-score: 10.0) met betrekking tot een onjuiste validatie van door de gebruiker geleverde afbeeldingen, wat leidde tot het uitvoeren van willekeurige code.
