安全研究人員披露了一個 VirusTotal 平臺的安全漏洞，攻擊者有可能利用該漏洞實現(xiàn)遠程代碼執(zhí)行(RCE)。

VirusTotal 平臺是谷歌子公司 Chronicle 的一部分，主要提供惡意軟件掃描服務，能夠分析可疑文件和URL，并使用 70 多個第三方防病毒產(chǎn)品檢查病毒。

漏洞已修補

與 The Hacker News 獨家分享時，Cysource 的安全研究人員 Shai Alfasi 和Marlon Fabiano da Silva 透露，該漏洞被追蹤為 CVE-2021-22204(CVSS評分：7.8)，是 ExifTool 對 DjVu 文件的錯誤處理引起的任意代碼執(zhí)行，其維護者在 2021年 4 月 13 日發(fā)布的安全更新中，已經(jīng)對漏洞進行了修補。

網(wǎng)絡攻擊者利用該漏洞的方法主要是通過 VirusTotal 平臺的網(wǎng)絡用戶界面上傳一個DjVu文件，利用它來觸發(fā) ExifTool 的高嚴重性遠程代碼執(zhí)行漏洞。(ExifTool：一個用于讀取和編輯圖像和PDF文件中EXIF元數(shù)據(jù)信息的開源工具)

另外，研究人員指出，攻擊者成功利用漏洞后，不僅僅能夠獲得谷歌控制環(huán)境的訪問權限，還獲得了 50 多個具有高級權限的內(nèi)部主機的訪問權限。

值得一提的是，研究人員在上傳一個包含新有效載荷的新哈希值文件時，VirusTotal 平臺都會將該有效載荷轉發(fā)給其他主機。因此研究人員推測，這不僅僅是一個 RCE問題，而且它還被 Google 的服務器轉發(fā)到 Google 的內(nèi)部網(wǎng)絡、以及客戶和合作伙伴。

這不是 ExifTool 漏洞第一次作為實現(xiàn)遠程代碼執(zhí)行的渠道，去年，GitLab 也修復了一個關鍵漏洞(CVE-2021-22205，CVSS評分：10.0)，該漏洞與用戶提供的圖像驗證不當有關，最終導致任意代碼執(zhí)行。