Уязвимость позволяла удаленно выполнять команды через VirusTotal и получать доступ к его различным функциям сканирования.
Исследователи безопасности из Cysource рассказали об уязвимости, позволявшей использовать платформу VirusTotal для удаленного выполнения кода на необновленных машинах с песочницей, на которых установлены антивирусные движки.
Как пояснили исследователи, теперь уже исправленная уязвимость позволяла «удаленно выполнять команды через платформу VirusTotal и получать доступ к ее различным функциям сканирования».
VirusTotal, являющийся сервисом дочерней компании Google Chronicle, представляет собой сканер вредоносного ПО, анализирующий подозрительные файлы и URL-ссылки и проверяющий на наличие вирусов с помощью более 70 сторонних антивирусных продуктов.
Атака предполагает загрузку через пользовательский web-интерфейс файла DjVu, который затем передается множеству сторонних антивирусных движков и может вызвать эксплуатацию высокоопасной уязвимости удаленного выполнения кода в ExifTool – утилите с открытым исходным кодом для чтения и редактирования метаданных EXIF в изображениях и файлах PDF.
Уязвимость CVE-2021-22204 существовала из-за некорректной обработки утилитой ExifTool файлов DjVu и была исправлена 13 апреля 2021 года.
В результате эксплуатации уязвимости исследователям удалось установить обратную оболочку на затронутые машины, связанные с некоторыми антивирусными решениями, на которых не было установлено исправление.
Проблема не затрагивает саму платформу VirusTotal, которая работает именно так, как положено. Выполнение кода происходит не на платформе, а в сторонних системах сканирования, анализирующих и выполняющих образцы. В настоящее время VirusTotal использует неуязвимую версию ExifTool.
Источник: securitylab