谷歌VirusTotal開源元件曝高危漏洞，可獲取內網訪問許可權

如漏洞遭利用，可導致攻擊者不僅訪問受谷歌控制的環境，還可以高許可權訪問50多個內部主機。

安全研究員在 VirusTotal 平臺上發現了一個嚴重漏洞，可被用於實現遠端程式碼執行 (RCE)。

該漏洞已修復。研究員指出，該漏洞可被用於“VirusTotal 平臺上遠端執行 ，並獲得對其多種掃描能力的訪問許可權”。

VirusTotal 是谷歌 Chronicle 安全子機構的組成部分，是一款惡意軟體掃描服務，能夠透過70多款第三方反病毒產品分析可疑檔案和URLs 並檢查病毒。

該高危漏洞的編號為CVE-2021-22204（CVSS 7.8分），是因ExifTool 對DjVu檔案的不當處理引發的任意程式碼執行漏洞。該攻擊方法透過平臺的 web 使用者介面上傳 DjVu 檔案，觸發 ExifTool 中的高危遠端程式碼執行缺陷的 exploit。ExifTool 是一款開源工具，用於讀取和編輯圖片和PDF檔案中的EXIF後設資料資訊。目前維護人員已在2021年4月13日釋出的安全更新中修復該漏洞。

研究人員指出，如漏洞遭利用，可導致攻擊者不僅訪問受谷歌控制的環境，還可以高許可權訪問50多個內部主機。

研究人員指出，“耐人尋味的是，每當我們上傳包含新payload 的雜湊的檔案時，VirusTotal 就會將payload 轉給其它主機。因此，我們不僅獲得RCE，它還被谷歌伺服器轉發給谷歌內網、客戶以及合作伙伴。”

研究人員指出，已在2021年4月13日透過谷歌的漏洞獎勵計劃報告該漏洞，隨後漏洞修復。

這並非ExifTool 缺陷首次成為達成RCE的中轉。去年，GitLab 修復一個嚴重漏洞CVE-2021-22205（CVSS：10分），因對使用者提供圖片驗證不當而導致任意程式碼執行。