如破绽遭利用,可导致攻击者不仅拜访受谷歌管制的环境,还能够高权限拜访 50 多个外部主机。
平安研究员在 VirusTotal 平台上发现了一个重大破绽,可被用于实现近程代码执行 (RCE)。
该破绽已修复。研究员指出,该破绽可被用于“VirusTotal 平台上近程执行命令,并取得对其多种扫描能力的拜访权限”。
VirusTotal 是谷歌 Chronicle 平安子机构的组成部分,是一款恶意软件扫描服务,可能通过 70 多款第三方反病毒产品剖析可疑文件和 URLs 并查看病毒。
该高危破绽的编号为 CVE-2021-22204(CVSS 7.8 分),是因 ExifTool 对 DjVu 文件的不当解决引发的任意代码执行破绽。该攻打办法通过平台的 web 用户接口上传 DjVu 文件,触发 ExifTool 中的高危近程代码执行缺点的 exploit。ExifTool 是一款开源工具,用于读取和编辑图片和 PDF 文件中的 EXIF 元数据信息。目前保护人员已在 2021 年 4 月 13 日公布的安全更新中修复该破绽。
谷歌 VirusTotal 开源组件曝高危破绽,可获取内网拜访权限谷歌 VirusTotal 开源组件曝高危破绽,可获取内网拜访权限
钻研人员指出,如破绽遭利用,可导致攻击者不仅拜访受谷歌管制的环境,还能够高权限拜访 50 多个外部主机。
谷歌 VirusTotal 开源组件曝高危破绽,可获取内网拜访权限谷歌 VirusTotal 开源组件曝高危破绽,可获取内网拜访权限
钻研人员指出,“回味无穷的是,每当咱们上传蕴含新 payload 的哈希的文件时,VirusTotal 就会将 payload 转给其它主机。因而,咱们不仅取得 RCE,它还被谷歌服务器转发给谷歌内网、客户以及合作伙伴。”
钻研人员指出,已在 2021 年 4 月 13 日通过谷歌的破绽处分打算报告该破绽,随后破绽修复。
这并非 ExifTool 缺点首次成为达成 RCE 的直达。去年,GitLab 修复一个重大破绽 CVE-2021-22205(CVSS:10 分),因对用户提供图片验证不当而导致任意代码执行。