Sicherheitsforscher haben eine Sicherheitslücke in der VirusTotal-Plattform aufgedeckt, die potenziell zur Remotecodeausführung (RCE) genutzt werden könnte.
Die inzwischen gepatchte Schwachstelle ermöglichte es, „Befehle innerhalb der VirusTotal-Plattform aus der Ferne auszuführen und Zugriff auf die verschiedenen Scan-Funktionen zu erhalten“, so die Cysource-Forscher Shai Alfasi und Marlon Fabiano da Silva in einem Bericht, der The Hacker News exklusiv vorliegt.
VirusTotal, Teil von Googles Sicherheitstochter Chronicle, ist ein Dienst zum Scannen von Malware, der verdächtige Dateien und URLs analysiert und mit Hilfe von mehr als 70 Antivirenprodukten von Drittanbietern auf Viren überprüft.
Die Angriffsmethode bestand darin, eine DjVu-Datei über die Web-Benutzeroberfläche der Plattform hochzuladen und damit eine Schwachstelle in ExifTool auszunutzen, einem Open-Source-Dienstprogramm, das zum Lesen und Bearbeiten von EXIF-Metadaten in Bild- und PDF-Dateien verwendet wird und eine hochgefährliche Remotecodeausführung ermöglicht.
Die als CVE-2021-22204 (CVSS-Score: 7.8) bezeichnete Sicherheitslücke ermöglicht die Ausführung von beliebigem Code, weil ExifTool DjVu-Dateien nicht richtig verarbeitet. Das Problem wurde von den Entwicklern in einem Sicherheitsupdate vom 13. April 2021 behoben.
Die Forscher stellten fest, dass eine solche Ausnutzung nicht nur Zugang zu einer von Google kontrollierten Umgebung, sondern auch zu mehr als 50 internen Hosts mit hohen Privilegien gewährt.
„Das Interessante daran ist, dass VirusTotal jedes Mal, wenn wir eine Datei mit einem neuen Hash hochgeladen haben, die eine neue Nutzlast enthielt, die Nutzlast an andere Hosts weitergeleitet hat“, so die Forscher. „Wir hatten also nicht nur einen RCE, sondern er wurde auch von Googles Servern an Googles internes Netzwerk, seine Kunden und Partner weitergeleitet.
Cysource meldete den Fehler am 30. April 2021 im Rahmen des Vulnerability Reward Programs (VRP) von Google, woraufhin die Sicherheitslücke umgehend behoben wurde.
Es ist nicht das erste Mal, dass die ExifTool-Schwachstelle als Mittel zur Remotecodeausführung auftaucht. Letztes Jahr hat GitLab eine kritische Schwachstelle (CVE-2021-22205, CVSS-Score: 10.0) behoben, die mit einer unsachgemäßen Validierung der vom Benutzer bereitgestellten Bilder zusammenhing und zur Ausführung von beliebigem Code führte.