Los expertos de Cysource descubrieron una vulnerabilidad que permitía "ejecutar comandos de forma remota en la plataforma VirusTotal y acceder a varias capacidades de escaneo".
Los investigadores dicen que el error se descubrió hace un año, en abril de 2021, pero Google, propietario de VirusTotal, dio permiso recientemente para publicar información sobre la vulnerabilidad.
El ataque a VirusTotal fue posible al cargar un archivo DjVu especialmente diseñado a través de una interfaz de usuario web. Dicho archivo podría usarse para lanzar un exploit relacionado con ExifTool, una utilidad de código abierto que se usa para leer y editar metadatos EXIF en imágenes y archivos PDF.
La raíz del problema encontrado por los expertos es un error, que recibió el identificador CVE-2021-22204 (7,8 puntos en la escala CVSS) y representa la ejecución de código arbitrario que se produce debido al manejo incorrecto de ExifTool con archivos DjVu. Este problema se solucionó en abril de 2021.
En su informe, los expertos escriben que la explotación de esta vulnerabilidad en el contexto de VirusTotal proporcionó no solo acceso a un entorno controlado por Google, sino también acceso privilegiado a más de 50 hosts internos.
“Curiosamente, cada vez que subíamos un archivo con un nuevo hash que contenía una nueva carga útil, VirusTotal reenviaba la carga útil a nuevos hosts”, dicen los expertos. "Así que no solo teníamos RCE, sino que los servidores de Google lo estaban redirigiendo a la intranet de Google, a sus clientes y socios".
Actualmente, la vulnerabilidad ya se ha solucionado y VirusTotal ya no permite la penetración en la infraestructura de Google.
Fuente: https://xakep.ru/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios