16/12/2024

Actu CybersécuritéWeb

Une faille de type « exécution de code à distance » découverte dans VirusTotal

Des chercheurs en sécurité ont découvert une faille de sécurité au sein du site VirusTotal, permettant à un attaquant d'exécuter du code à distance et d'interagir avec plusieurs dizaines de serveurs.

Pour rappel, VirusTotal est un service en ligne qui permet d'analyser des fichiers ou des URL à la recherche de logiciels malveillants, en s'appuyant sur plus de 70 moteurs antivirus différents. VirusTotal appartient à Google.

Les chercheurs en sécurité Shai Alfasi et Marlon Fabiano da Silva de l'entreprise Cysource ont fait la découverte de cette vulnérabilité qui est désormais corrigée depuis le 13 avril 2022. Elle est associée à la référence CVE-2021-22204 et bénéficie d'un score CVSS de 7,8 sur 10.

L'attaque consiste à charger un fichier DjVu sur l'interface VirusTotal, dans le but de cibler un exploit présent au sein de l'outil ExifTool sur lequel s'appuie la plateforme. En fait, ExifTool est un outil open source qui permet de lire et d'éditer les métadonnées des fichiers, notamment les images et les PDF.

D'après les chercheurs, en exploitant cette vulnérabilité, il est possible d'obtenir un accès sur un environnement contrôlé par Google, mais aussi à plus de 50 hôtes internes avec des privilèges élevés ! 

Voici ce qu'ils précisent : "La partie intéressante, c'est que chaque fois que nous avons téléchargé un fichier avec un nouveau hachage contenant une nouvelle charge malveillante, VirusTotal a transmis la charge utile à d'autres hôtes. [...] Donc, non seulement nous avions une faille RCE, mais elle était également transférée par les serveurs de Google vers le réseau interne de Google, ses clients et ses partenaires.". Le rapport complet est disponible sur le site de Cysource.

Ce n'est pas la première fois qu'une faille de sécurité dans ExifTool impacte une plateforme importante. En effet, l'année dernière c'est la plateforme GitLab qui a fait les frais d'une vulnérabilité dans ExifTool avec la CVE-2021-22205, associée à un score CVSS de 10.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.