Virustotal: i ladri eseguono il loro codice sui server di Google

Componenti e moduli obsoleti rappresentano un problema di sicurezza: lo ha scoperto anche Google. Il servizio di scansione antivirus online dell’azienda Virustotal ha utilizzato una versione obsoleta dello strumento exiftool, che estrae informazioni dai file di immagine. Una falla nella sicurezza ha consentito ai ricercatori della sicurezza IT di iniettare il proprio codice con file di immagine manomessi e quindi di accedere ai server del servizio.

Virustotal riceve e distribuisce file ai suoi server con circa 70 scanner antivirus. Oltre alla pura scansione antivirus, Virustotal esegue ulteriori indagini ed estrae i metadati dai file, ad esempio. Il sistema utilizza exiftool per i file di immagine. A causa della vulnerabilità contenuta nella vecchia versione con la voce CVE-2021-22204 (CVSS) 7.8rischio altoChiamare lo strumento con file di immagine accuratamente realizzati non restituisce alcun metadati, ma esegue invece codice dannoso incorporato in essi.

Debolezza nel vecchio componente

Il riepilogo della vulnerabilità recita: “La neutralizzazione inadeguata dei dati utente nel formato di file DjVu in ExifTool versione 7.44 e successive consente l’esecuzione di codice arbitrario durante l’elaborazione di immagini dannose”. Su Internet è possibile trovare codice exploit pronto all’uso, che può essere facilmente utilizzato per creare file DjVu manomessi che abusano della vulnerabilità per eseguire il codice del programma.

I ricercatori di sicurezza IT hanno creato tali file DjVu che forniscono un back wrapper come carico utile. A I ricercatori di CySource compilano il rapporto Ci sono molti screenshot che esaminano i sistemi e accedono a un dispositivo diverso con ogni file appena caricato con un valore hash diverso.

Nei loro test, sono stati in grado di accedere a oltre 50 host interni, con privilegi elevati come utente root. Mentre lo fanno, incontrano vari servizi attivi come applicazioni e servizi http e https, Kubernetes, mysql, database Oracle o SSH. L’accesso completo fornisce anche informazioni dettagliate su dati come token Kubernetes, certificati, configurazioni di servizi, codici sorgente, file di registro e simili.

Da allora Google ha chiuso la vulnerabilità di Virustotal. Il fatto che tali errori si verifichino anche in aziende così grandi che impiegano noti esperti e dipartimenti nel campo della sicurezza informatica dimostra che non ci sono piccoli problemi nell’aggiornamento continuo del software e dei componenti utilizzati.

Nella recente competizione Pwn2Own, i ricercatori della sicurezza IT hanno mostrato quanto sia facile entrare in un’infrastruttura critica, ad esempio.

(DMK)