Nhóm nghiên cứu Cysource do Shai Alfasi và Marlon Fabiano da Silva dẫn đầu đã phát hiện lỗ hổng thực thi mã từ xa trên virustotal.com – một nền tảng cung cấp quyền truy cập vào hơn 70 trình quét Antivirus khác nhau từ các nhà cung cấp bảo mật nổi tiếng như Kaspersky, ESET và 360 Total Security, cho phép scan trên các file hoặc URL mà người dùng cung cấp.
CVE-2021-22204 (CVSS: 7.8/10) tồn tại trong ExifTool phiên bản 7.44 trở lên cho phép thực thi mã tùy ý.
Ngoài thực thi mã từ xa, các chuyên gia Cysource còn nhận được một reverse shell cho phép truy cập hơn 50 máy chủ mạng nội bộ của Google và các đối tác khác của VirusTotal với đặc quyền cao.
Nhóm Cysource cũng cho biết: “Mỗi khi chúng tôi up một file có hàm mới chứa payload mới, VirusTotal sẽ chuyển tiếp payload này đến máy chủ khác. Chính vì vậy, chúng tôi không chỉ có RCE mà còn có thể leo thang các máy chủ khác trong mạng nội bộ, khách hàng và đối tác của Google”.
Lỗ hổng đã được CySource tiết lộ vào tháng 4 năm 2021. Đến tháng 1 năm nay, bản cập nhật bảo mật đã được triển khai. Tuy nhiên, cả Google và CySource đều không giải thích lý do tại sao phải đến tháng 1 năm 2022 mới giải quyết lỗ hổng.
Theo https://www.cysrc.com/
