Los investigadores de seguridad han revelado una vulnerabilidad de seguridad en la plataforma VirusTotal que podría haber sido potencialmente armada para lograr la ejecución remota de código (RCE).
La falla, ahora reparada, hizo posible «ejecutar comandos de forma remota dentro de la plataforma VirusTotal y obtener acceso a sus diversas capacidades de escaneo», dijeron los investigadores de Cysource Shai Alfasi y Marlon Fabiano da Silva en un informe compartido exclusivamente con The Hacker News.
VirusTotal , parte de la subsidiaria de seguridad Chronicle de Google, es un servicio de escaneo de malware que analiza archivos y URL sospechosos y busca virus utilizando más de 70 productos antivirus de terceros.
El método de ataque involucró la carga de un archivo DjVu a través de la interfaz de usuario web de la plataforma , usándolo para desencadenar un exploit para una falla de ejecución remota de código de alta gravedad en ExifTool , una utilidad de código abierto utilizada para leer y editar información de metadatos EXIF en la imagen. y archivos PDF.
Registrada como CVE-2021-22204 (puntaje CVSS: 7.8), la vulnerabilidad de alta gravedad en cuestión es un caso de ejecución de código arbitrario que surge del mal manejo de los archivos DjVu por parte de ExifTool. El problema fue solucionado por sus mantenedores en una actualización de seguridad lanzada el 13 de abril de 2021.
Una consecuencia de tal explotación, señalaron los investigadores, fue que otorgó acceso no solo a un entorno controlado por Google, sino también a más de 50 hosts internos con privilegios de alto nivel.
«La parte interesante es que cada vez que cargamos un archivo con un nuevo hash que contiene una nueva carga útil, VirusTotal reenvía la carga útil a otros hosts», dijeron los investigadores. «Entonces, no solo tuvimos un RCE, sino que también fue reenviado por los servidores de Google a la red interna de Google, sus clientes y socios».
Cysource dijo que informó responsablemente el error a través de los Programas de recompensa por vulnerabilidad ( VRP ) de Google el 30 de abril de 2021, luego de lo cual la debilidad de seguridad se rectificó de inmediato.
Esta no es la primera vez que la falla de ExifTool surge como un conducto para lograr la ejecución remota de código. El año pasado, GitLab solucionó una falla crítica ( CVE-2021-22205 , puntaje CVSS: 10.0) relacionada con una validación incorrecta de las imágenes proporcionadas por el usuario, lo que llevó a la ejecución de código arbitrario.
Fuente: https://thehackernews.com
