Les chercheurs en sécurité ont révélé un problème de sécurité qui aurait pu permettre aux attaquants de transformer la plate-forme VirusTotal en arme pour obtenir l’exécution de code à distance (RCE) sur des machines de bac à sable tierces non corrigées utilisant des moteurs antivirus. La faille, désormais corrigée, a permis « d’exécuter des commandes à distance dans [via] la plate-forme VirusTotal et d’accéder à ses diverses capacités d’analyse », ont déclaré les chercheurs de Cysource Shai Alfasi et Marlon Fabiano da Silva dans un rapport exclusivement partagé avec breachtrace. VirusTotal, qui fait partie de la filiale de sécurité Chronicle de Google, est un service d’analyse des logiciels malveillants qui analyse les fichiers et les URL suspects et recherche les virus à l’aide de plus de 70 produits antivirus tiers. La méthode d’attaque consistait à télécharger un fichier DjVu via l’interface utilisateur Web de la plate-forme qui, lorsqu’il était transmis à plusieurs moteurs d’analyse de logiciels malveillants tiers, pouvait déclencher un exploit pour une faille d’exécution de code à distance de haute gravité dans ExifTool, un utilitaire open source utilisé pour lire et modifier les informations de métadonnées EXIF dans les fichiers image et PDF.
Suivie comme CVE-2021-22204 (score CVSS : 7,8), la vulnérabilité de haute gravité en question est un cas d’exécution de code arbitraire résultant d’une mauvaise gestion des fichiers DjVu par ExifTool. Le problème a été corrigé par ses responsables dans une mise à jour de sécurité publiée le 13 avril 2021.
Une conséquence d’une telle exploitation, ont noté les chercheurs, était qu’elle accordait un reverse shell aux machines affectées liées à certains moteurs antivirus qui n’avaient pas encore été corrigés pour la vulnérabilité d’exécution de code à distance.
À noter, la vulnérabilité n’affecte pas VirusTotal et dans une déclaration partagée avec breachtrace, Bernardo Quintero, son fondateur, a confirmé que c’est le comportement prévu et que les exécutions de code ne sont pas dans la plate-forme elle-même mais dans le tiers des systèmes de balayage qui analysent et exécutent les échantillons. La société a également déclaré qu’elle utilisait une version d’ExifTool qui n’est pas vulnérable à la faille.
Cysource a déclaré avoir signalé le bogue de manière responsable via les programmes de récompense de vulnérabilité (VRP) de Google le 30 avril 2021, après quoi la faille de sécurité a été immédiatement corrigée.
Ce n’est pas la première fois que la faille ExifTool apparaît comme un conduit pour réaliser l’exécution de code à distance. L’année dernière, GitLab a corrigé une faille critique (CVE-2021-22205, score CVSS : 10,0) liée à une mauvaise validation des images fournies par l’utilisateur, entraînant l’exécution de code arbitraire.
Mise à jour : L’histoire a été révisée sur la base d’une déclaration de VirusTotal pour clarifier la nature de l’exploitation.