Peinliche Schwachstelle: VirusTotal bot Root-Zugang zu Scanner-VMs

Die Plattform VirusTotal gilt eigentlich schon lange als Standard-Werkzeug in der Security-Szene. Für Google als Betreiber ist es daher durchaus etwas peinlich, dass es möglich war, den Dienst mittels einer Schwachstelle zu missbrauchen. Auslöser war ausgerechnet eine Nachlässigkeit, vor der Sicherheitsforscher immer wieder warnen: Als eine Komponente des Dienstes kommt ExifTool zum Einsatz, ein Werkzeug zum Auslesen von Meta-Daten aus Bilddateien. Dieses lag hier allerdings in einer veralteten Version vor und die VirusTotal-Betreiber hatten die eigentlich verfügbaren Patches schlicht noch nicht installiert.

Konkret geht es dabei um einen Bug, der bei der Auswertung von Daten aus DjVu-Dateien zum Tragen kommt. Der Patch, mit dem dieses Problem behoben werden kann, ist auch nicht sonderlich frisch, sondern wurde bereits am 13. April 2021 - also vor über einem Jahr - zur Verfügung gestellt. Durch den weiterhin enthaltenen Bug war es möglich, fremden Code auf die VirusTotal-Server zu schleusen und zur Ausführung zu bringen.

Exploit leicht verfügbar

Nach allen bisher vorliegenden Informationen kann man bei Google im Grunde von Glück reden, dass diese Nachlässigkeit keinen Kriminellen aufgefallen ist. Gefunden wurde die Schwachstelle vielmehr von Security-Forschern des Unternehmens Cysource, die das Problem an Google meldeten. Inzwischen ist der Bug auch beseitigt worden.

Die Sicherheitsforscher konnten sich Zugang zu einer ganzen Reihe virtueller Maschinen verschaffen, auf denen VirusTotal verschiedene Virenscanner betreibt. Der Zugang zu den virtualisierten Systemen konnte jeweils mit root-Rechten erfolgen. Angesichts dessen, dass der Exploit-Code für die Schwachstelle recht einfach im Netz zu finden ist, hätte die Angelegenheit durchaus schlimmer ausgehen können, wenn böswillige Angreifer über die Sicherheitslücke gestolpert wären.

Siehe auch: Google baut den Antiviren-Service VirusTotal deutlich aus