محققان باگ بحرانی RCE را در پلتفرم VirusTotal گوگل گزارش دادند


به این مطلب امتیاز دهید

محققان امنیتی یک آسیب‌پذیری امنیتی را در پلتفرم VirusTotal گزارش کرده‌اند که می‌توانست برای دسترسی به اجرای کد از راه دور (RCE) به یک مورد بحرانی تبدیل شود.

شای آلفاسی و مارلون فابیانو داسیلوا، محققین Cysource، در گزارشی که به طور انحصاری با The Hacker News به اشتراک گذاشته شده است، گفتند: این باگ که اکنون پچ شده است، “اجرای دستورات از راه دور (RCE) در پلتفرم VirusTotal و دسترسی به قابلیت های مختلف” را ممکن کرد.

این VirusTotal، بخشی از زیرمجموعه امنیتی Google Chronicle، یک سرویس اسکن بدافزار است که فایل ها و URL های مشکوک را تجزیه و تحلیل می کند و با استفاده از بیش از 70 محصول آنتی ویروس شخص ثالث، ویروس ها را بررسی می کند.

روش حمله شامل آپلود یک فایل DjVu از طریق رابط کاربری وب، استفاده از رابط گرافیکی برای ایجاد یک نقص برای RCE با شدت بالا در ExifTool، یک ابزار منبع باز است که برای خواندن و ویرایش metadata EXIF ​​در تصویر و فایل های PDF استفاده می‌شود.

آسیب پذیری با بحرانی که به عنوان CVE-2021-22204 شناخته می شود (امتیاز CVSS: 7.8)، موردی از RCE  است که از سوء استفاده ExifTool با فایل های DjVu ناشی می شود. این مشکل توسط تیم امنیتی آن در یک به روز رسانی  منتشر شده و در 13 آوریل 2021 اصلاح شد.

محققان اشاره کردند که نتیجه چنین بهره برداری  نه تنها به یک محیط تحت کنترل گوگل، بلکه به بیش از 50 میزبان داخلی با دسترسی سطح بالا نیز دسترسی پیدا کرد.

محققان می‌گویند: «بخش جالب این است که هر بار که فایلی را با هش جدید حاوی پیلود جدید آپلود می‌کنیم، VirusTotal آن را به کاربرهای دیگر ارسال می‌کند. بنابراین، نه تنها ما یک RCE داشتیم، بلکه توسط سرورهای گوگل به شبکه داخلی گوگل، مشتریان و شرکای آن دسترسی داشتیم.”

این Cysource گفت که در 30 آوریل 2021 این اشکال را از طریق برنامه های بانتی گوگل (VRP) در 30 آوریل 2021 گزارش کرده است که به دنبال آن باگ امنیتی فوراً برطرف شد.

این اولین بار نیست که نقص ExifTool به عنوان مجرای برای RCE ظاهر می شود. سال گذشته، GitLab یک نقص مهم (CVE-2021-22205، امتیاز CVSS: 10.0) مربوط به اعتبار سنجی نامناسب تصاویر ارائه شده توسط کاربر را برطرف کرد که منجر به اجرای کد دلخواه شد.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.