Los investigadores de seguridad han revelado una vulnerabilidad de seguridad en la plataforma VirusTotal que podría haber sido potencialmente armada para lograr la ejecución remota de código (RCE).
La falla, ahora parcheada, hizo posible «ejecutar comandos de forma remota dentro de la plataforma VirusTotal y obtener acceso a sus diversas capacidades de escaneo», dijeron los investigadores de Cysource Shai Alfasi y Marlon Fabiano da Silva en un comunicado. reporte compartido exclusivamente con The Hacker News.
VirusTotalparte de la subsidiaria de seguridad Chronicle de Google, es un servicio de escaneo de malware que analiza archivos y URL sospechosos y busca virus utilizando más de 70 productos antivirus de terceros.
El método de ataque implicó la carga de un archivo DjVu a través de la plataforma interfaz de usuario webusándolo para desencadenar un exploit para una falla de ejecución remota de código de alta gravedad en ExifTooluna utilidad de código abierto utilizada para leer y editar información de metadatos EXIF en archivos de imagen y PDF.
rastreado como CVE-2021-22204 (puntuación CVSS: 7,8), la gravedad alta vulnerabilidad en cuestión es un caso de ejecución de código arbitrario que surge del mal manejo de los archivos DjVu por parte de ExifTool. El problema fue parcheado por sus mantenedores en un actualización de seguridad publicado el 13 de abril de 2021.
Una consecuencia de tal explotación, señalaron los investigadores, fue que otorgó acceso no solo a un entorno controlado por Google, sino también a más de 50 hosts internos con privilegios de alto nivel.
«La parte interesante es que cada vez que cargamos un archivo con un nuevo hash que contiene una nueva carga útil, VirusTotal reenvía la carga útil a otros hosts», dijeron los investigadores. «Entonces, no solo tuvimos un RCE, sino que también fue reenviado por los servidores de Google a la red interna de Google, sus clientes y socios».
Cysource dijo que informó responsablemente el error a través de los Programas de recompensa por vulnerabilidad de Google (VRP) el 30 de abril de 2021, tras lo cual se subsanó inmediatamente la debilidad de seguridad.
Esta no es la primera vez que la falla de ExifTool surge como un conducto para lograr la ejecución remota de código. El año pasado, GitLab solucionó una falla crítica (CVE-2021-22205, puntaje CVSS: 10.0) relacionada con una validación incorrecta de las imágenes proporcionadas por el usuario, lo que llevó a la ejecución de código arbitrario.