研究人员通过VirusTotal接管未打补丁的第三方防病毒沙盒

安全研究人员披露了一个安全问题，该问题可能允许攻击者将VirusTotal平台武器化，作为在使用防病毒引擎的未打补丁的第三方沙盒机器上实现远程代码执行（RCE）的管道。

Cysource研究人员Shai Alfasi和Marlon Fabiano da Silva在与《黑客新闻》独家分享的一份报告中表示，该漏洞现已修补，可以“通过VirusTotal平台远程执行命令，并访问其各种扫描功能”。

VirusTotal是Google的Chronicle security子公司的一部分，是一种恶意软件扫描服务，它分析可疑文件和URL，并使用70多种第三方防病毒产品检查病毒。

该攻击方法涉及通过平台的web用户界面上传一个DjVu文件，当该文件传递给多个第三方恶意软件扫描引擎时，可能会触发对ExifTool中严重远程代码执行漏洞的攻击，ExifTool是一个开源实用程序，用于读取和编辑图像和PDF文件中的EXIF元数据信息。

被追踪为CVE-2021-22204（CVSS分数：7.8），所讨论的高严重性漏洞是由于ExifTool错误处理DjVu文件而导致的任意代码执行。该问题在2021 4月13日发布的安全更新中由其维护人员修复。

研究人员指出，这种攻击的一个后果是，它向链接到某些尚未修补远程代码执行漏洞的防病毒引擎的受影响机器提供了一个反向外壳。

需要指出的是，该漏洞并不影响VirusTotal，在与《黑客新闻》共享的一份声明中，其创始人Bernardo Quintero确认这是预期行为，代码执行不在平台本身，而是在分析和执行样本的第三方扫描系统中。该公司还表示，它使用的ExifTool版本不易受到该漏洞的攻击。

Cysource表示，它于2021 4月30日通过谷歌漏洞奖励计划（VRP）负责地报告了该漏洞，随后立即纠正了安全漏洞。

这并不是ExifTool缺陷第一次作为实现远程代码执行的管道出现。去年，GitLab修复了一个关键缺陷（CVE-2021-22205，CVSS分数：10.0），该缺陷与用户提供的图像验证不当有关，导致任意代码执行。

使现代化：根据VirusTotal的一份声明，已对该报道进行了修订，以澄清剥削的性质。