Les chercheurs en sécurité ont révélé une vulnérabilité de sécurité dans la plate-forme VirusTotal qui aurait pu être potentiellement militarisée pour réaliser l’exécution de code à distance (RCE).
La faille, désormais corrigée, a permis « d’exécuter des commandes à distance au sein de la plate-forme VirusTotal et d’accéder à ses différentes capacités d’analyse », ont déclaré les chercheurs de Cysource Shai Alfasi et Marlon Fabiano da Silva dans un communiqué. rapport exclusivement partagé avec The Hacker News.
VirusTotalqui fait partie de la filiale de sécurité Chronicle de Google, est un service d’analyse des logiciels malveillants qui analyse les fichiers et les URL suspects et recherche les virus à l’aide de plus de 70 produits antivirus tiers.
La méthode d’attaque impliquait le téléchargement d’un fichier DjVu via le interface utilisateur weben l’utilisant pour déclencher un exploit pour une faille d’exécution de code à distance très grave dans ExifToolun utilitaire open source utilisé pour lire et modifier les informations de métadonnées EXIF dans les fichiers image et PDF.
Suivi comme CVE-2021-22204 (score CVSS : 7,8), la forte gravité vulnérabilité en question est un cas d’exécution de code arbitraire résultant d’une mauvaise gestion des fichiers DjVu par ExifTool. Le problème a été corrigé par ses responsables dans un mise à jour de sécurité sortie le 13 avril 2021.
Une conséquence d’une telle exploitation, ont noté les chercheurs, était qu’elle accordait l’accès non seulement à un environnement contrôlé par Google, mais également à plus de 50 hôtes internes avec des privilèges de haut niveau.
« La partie intéressante est que chaque fois que nous téléchargeons un fichier avec un nouveau hachage contenant une nouvelle charge utile, VirusTotal transmet la charge utile à d’autres hôtes », ont déclaré les chercheurs. « Ainsi, non seulement nous avions un RCE, mais il était également transmis par les serveurs de Google au réseau interne de Google, à ses clients et partenaires. »
Cysource a déclaré avoir signalé le bogue de manière responsable via les programmes de récompense de vulnérabilité de Google (VRP) le 30 avril 2021, après quoi la faille de sécurité a été immédiatement corrigée.
Ce n’est pas la première fois que la faille ExifTool apparaît comme un conduit pour réaliser l’exécution de code à distance. L’année dernière, GitLab a corrigé une faille critique (CVE-2021-22205, score CVSS : 10,0) liée à une mauvaise validation des images fournies par l’utilisateur, entraînant l’exécution de code arbitraire.