VirusTotal, que forma parte de la filial de seguridad Chronicle de Google, es un servicio de escaneo de malware que analiza archivos y URLs sospechosas y comprueba la existencia de virus mediante más de 70 productos antivirus de terceros.
El fallo fue parcheado por sus responsables en una actualización de seguridad publicada el 13 de abril de 2021. Según los investigadores de Cysource Shai Alfasi y Marlon Fabiano da SilvaIt, la vulnerabilidad permitía ejecutar comandos de forma remota dentro de la plataforma de VirusTotal y acceder a sus diversas capacidades de escaneo.
El informe fue compartido en exclusiva por los investigadores con la publicación The Hacker News, que escribe que el método de ataque implicaba la carga de un archivo DjVu a través de la interfaz de usuario web de la plataforma, utilizándolo para desencadenar un exploit para un fallo de ejecución remota de código de alta gravedad en ExifTool, una utilidad de código abierto utilizada para leer y editar la información de metadatos EXIF en archivos gráficos y PDF.
Identificada como CVE-2021-22204 (puntuación CVSS: 7,8), la vulnerabilidad de alta gravedad en cuestión es un caso de ejecución de código arbitrario que surge del mal manejo de archivos DjVu por parte de ExifTool. Los investigadores señalaron que la consecuencia de esta explotación era que permitía el acceso no sólo a un entorno controlado por Google, sino también a más de 50 hosts internos con privilegios de alto nivel.
Según los investigadores, cada vez que subían un archivo con un nuevo hash que contenía una nueva carga útil, VirusTotal reenviaba la carga útil a otros hosts. “Así que no sólo teníamos un RCE, sino que también era reenviado por los servidores de Google a la red interna de Google, sus clientes y socios”.