Vulnerabilidad crítica permitiría utilizar la plataforma VirusTotal como conducto para la ejecución remota de código

Los investigadores de seguridad cibernética revelaron un problema que podría haber permitido a los atacantes armar la plataforma VirusTotal como un conducto para lograr la ejecución remota de código (RCE) en máquinas de sandboxing de terceros sin parques que empleaban motores antivirus.

La vulnerabilidad, ya parcheada, hizo posible «ejecutar comandos de forma remota por medio de la plataforma VirusTotal y obtener acceso a sus diversas capacidades de escaneo», dijeron los investigadores de Cysource, Shai Alfasi y Marlon Fabiano da Silva.

VirusTotal, parte de la subsidiaria de seguridad Chronicle de Google, es un servicio de escaneo de malware que analiza archivos y URL sospechosos y busca virus utilizando más de 70 productos antivirus de terceros.

El método de ataque consistía en cargar un archivo DjVu a través de la interfaz de usuario web de la plataforma, que cuando se pasaba a varios motores de escaneo de malware de terceros, podía desencadenar un exploit para una vulnerabilidad de ejecución remota de código de alta gravedad en ExifTool, una utilidad de código abierto utilizada para leer y editar información de metadatos EXIF en archivos de imagen y PDF.

Rastreada como CVE-2021-22204 (puntaje CVSS: 7.8), la vulnerabilidad de alta gravedad es un caso de ejecución de código arbitrario que surge del mal manejo de los archivos DjVu por parte de ExifTool. El problema fue solucionado por sus mantenedores en una actualización de seguridad lanzada el 13 de abril de 2021.

Una consecuencia de esta explotación, según los investigadores, fue que otorgó un shell inverso a las máquinas afectadas vinculadas a algunos motores antivirus que aún no habían sido parcheados para la vulnerabilidad de ejecución remota de código.

Cabe mencionar que la vulnerabilidad no afecta a VirusTotal, y en un comunicado, Bernardo Quintero, su fundador, confirmó que es el comportamiento previsto y que las ejecuciones de código no están en la plataforma en sí sino en los sistemas de escaneo de terceros que analizan y ejecutan las muestras. La compañía también dijo que está usando una versión de ExifTool que no es vulnerable a la falla.

Cysource dijo que informó de forma responsable el error a través de los Programas de Recompensa por Vulnerabilidad (VRP) de Google el 30 de abril de 2021, luego de lo cual, la vulnerabilidad de seguridad se corrigió inmediatamente.

Esta no es la primera vez que la vulnerabilidad ExifTool surge como un conducto para lograr la ejecución remota de código. El año pasado, GitLab solucionó una falla crítica (CVE-2021-22205, puntaje CVSS: 10) relacionada con una validación incorrecta de las imágenes proporcionadas por el usuario, lo que llevó a la ejecución de código arbitrario.

Grupo de WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Grupo de Telegram: https://t.me/Masterhacks_net

Donaciones
Gracias por apoyar el libre conocimiento! Puedes donar la cantidad que tú desees.
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: DQQyKHdtvFiB4zW87Kvp9Wna3bcyL3ukQz
BCH: qqnkqcu8sa90zuuzd2nvdrslgdv3u5ta6cy4ch0rnq
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Transferencia bancaria México: CLABE: 646180192143715428 a nombre de Masterhacks LATAM, Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada.