一个名叫 CySource 的团队发了一篇技术分析,讲述自己是如何利用一个 ExifTool 的已知漏洞,上传恶意文件样本到知名恶意软件分析服务 VirusTotal,从而拿下相关服务器权限:
https://www.cysrc.com/blog/virus-total-blog
文章中写道,他们上传了一个 CVE-2021-22204 的利用 PoC 文件(djvu 格式)到 VirusTotal。
content: (metadata "c${system('bash -c "{echo,BASE64-ENCODED-COMMAND-TO-BE-EXECUTED }|{base64,-d }|{bash,-i }" ; clear') };")
这个漏洞影响 ExifTool 12.24 以下版本。尝试获取恶意文件的 EXIF 信息,将会执行系统命令。
他们上传文件之后很快获取了一个反弹 shell。通过这个 shell 探测服务器所处的内网环境,可以访问到不少敏感服务。
172-24-241-97.kamala-prober.zion-rel.svc.cluster.localkubernetes.default.svc.cluster.local
文章发出来之后,VirusTotal 的创始人 Bernardo Quintero (@bquintero) 亲自反驳:
他表示有服务器因为扫描恶意样本被执行代码不假,但这些服务器不属于 VT,而是第三方合作伙伴的服务。VT 的一些合作伙伴会自动下载和处理来自 VT 的样本。
去年五月 GoogleVRP 就明确答复 CySource 这些服务器不属于 VirusTotal,而且经过自查发现 VT 使用的 ExifTool 版本不受 CVE-2021-22204 影响。
Bernardo Quintero 对这种搞个大新闻的做法表示很无奈 ¯_(ツ)_/¯
吃瓜群众又开始了新一轮的好奇,到底是哪个合作伙伴的服务器呢?
题图来自 Unsplash @amfiloxia_68
原文始发于微信公众号(非尝咸鱼贩):VirusTotal 被 Shell 了?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论