安全研究人员披露了VirusTotal平台存在的一个安全漏洞,攻击者可能利用该漏洞实现远程代码执行(RCE)。VirusTotal平台是Google子公司Chronicle的一部分,提供恶意软件扫描服务,该服务使用70多种第三方防病毒产品分析可疑文件和URL并检查病毒。漏洞已修补Cysource安全研究人员ShaiAlfasi和MarlonFabianodaSilva与TheHackerNews独家分享,他们透露,该漏洞被追踪为CVE-2021-22204(CVSS评分:7.8),是ExifTool对DjVu文件的错误处理。它的维护者在2021年4月13日发布的安全更新中。网络攻击者利用该漏洞的方法主要是通过VirusTotal平台的Web用户界面上传一个DjVu文件,并利用该文件触发高危远程代码ExifTool中的执行漏洞。(ExifTool:一款用于读取和编辑图片和PDF文件中的EXIF元数据信息的开源工具)此外,研究人员指出,攻击者成功利用该漏洞后,不仅可以访问谷歌的控制环境,还可以访问谷歌的控制环境。还获得了对50多台具有高级权限的内部主机的访问权限。值得一提的是,每当研究人员上传包含新有效载荷的新哈希文件时,VirusTotal平台就会将有效载荷转发给其他主机。所以研究人员推测这不仅仅是一个RCE问题,而是它正在被谷歌的服务器转发到谷歌的内部网络,以及客户和合作伙伴。ExifTool漏洞被用作实现远程代码执行的渠道,这已经不是第一次了。去年,GitLab还修复了一个严重漏洞(CVE-2021-22205,CVSS评分:10.0),该漏洞与用户提供的图像验证不当有关,最终导致任意代码执行。
