Une faille de type « exécution de code à distance » découverte dans VirusTotal
Des chercheurs en sécurité ont découvert une faille de sécurité au sein du site VirusTotal, permettant à un attaquant d'exécuter du code à distance et d'interagir avec plusieurs dizaines de serveurs.
Pour rappel, VirusTotal est un service en ligne qui permet d'analyser des fichiers ou des URL à la recherche de logiciels malveillants, en s'appuyant sur plus de 70 moteurs antivirus différents. VirusTotal appartient à Google.
Les chercheurs en sécurité Shai Alfasi et Marlon Fabiano da Silva de l'entreprise Cysource ont fait la découverte de cette vulnérabilité qui est désormais corrigée depuis le 13 avril 2022. Elle est associée à la référence CVE-2021-22204 et bénéficie d'un score CVSS de 7,8 sur 10.
L'attaque consiste à charger un fichier DjVu sur l'interface VirusTotal, dans le but de cibler un exploit présent au sein de l'outil ExifTool sur lequel s'appuie la plateforme. En fait, ExifTool est un outil open source qui permet de lire et d'éditer les métadonnées des fichiers, notamment les images et les PDF.
D'après les chercheurs, en exploitant cette vulnérabilité, il est possible d'obtenir un accès sur un environnement contrôlé par Google, mais aussi à plus de 50 hôtes internes avec des privilèges élevés !
Voici ce qu'ils précisent : "La partie intéressante, c'est que chaque fois que nous avons téléchargé un fichier avec un nouveau hachage contenant une nouvelle charge malveillante, VirusTotal a transmis la charge utile à d'autres hôtes. [...] Donc, non seulement nous avions une faille RCE, mais elle était également transférée par les serveurs de Google vers le réseau interne de Google, ses clients et ses partenaires.". Le rapport complet est disponible sur le site de Cysource.
Ce n'est pas la première fois qu'une faille de sécurité dans ExifTool impacte une plateforme importante. En effet, l'année dernière c'est la plateforme GitLab qui a fait les frais d'une vulnérabilité dans ExifTool avec la CVE-2021-22205, associée à un score CVSS de 10.