谷歌修復了VirusTotal平臺的高危RCE漏洞
安全研究人員披露了一個 VirusTotal 平臺的安全漏洞,攻擊者有可能利用該漏洞實現遠程代碼執行(RCE)。
VirusTotal 平臺是谷歌子公司 Chronicle 的一部分,主要提供惡意軟件掃描服務,能夠分析可疑文件和URL,并使用 70 多個第三方防病毒產品檢查病毒。
漏洞已修補
與 The Hacker News 獨家分享時,Cysource 的安全研究人員 Shai Alfasi 和Marlon Fabiano da Silva 透露,該漏洞被追蹤為 CVE-2021-22204(CVSS評分:7.8),是 ExifTool 對 DjVu 文件的錯誤處理引起的任意代碼執行,其維護者在 2021年 4 月 13 日發布的安全更新中,已經對漏洞進行了修補。
網絡攻擊者利用該漏洞的方法主要是通過 VirusTotal 平臺的網絡用戶界面上傳一個DjVu文件,利用它來觸發 ExifTool 的高嚴重性遠程代碼執行漏洞。(ExifTool:一個用于讀取和編輯圖像和PDF文件中EXIF元數據信息的開源工具)
另外,研究人員指出,攻擊者成功利用漏洞后,不僅僅能夠獲得谷歌控制環境的訪問權限,還獲得了 50 多個具有高級權限的內部主機的訪問權限。
值得一提的是,研究人員在上傳一個包含新有效載荷的新哈希值文件時,VirusTotal 平臺都會將該有效載荷轉發給其他主機。因此研究人員推測,這不僅僅是一個 RCE問題,而且它還被 Google 的服務器轉發到 Google 的內部網絡、以及客戶和合作伙伴。
這不是 ExifTool 漏洞第一次作為實現遠程代碼執行的渠道,去年,GitLab 也修復了一個關鍵漏洞(CVE-2021-22205,CVSS評分:10.0),該漏洞與用戶提供的圖像驗證不當有關,最終導致任意代碼執行。
參考文章:
https://thehackernews.com/2022/04/researchers-report-critical-rce.html
