Er was geen kritieke kwetsbaarheid aanwezig in VirusTotal waardoor remote code execution mogelijk is, zoals beveiligingsonderzoekers claimen. Dat laat Bernardo Quintero van VirusTotal via Twitter weten. VirusTotal is een online virusscandienst van Google waar gebruikers verdachte bestanden door zo'n zeventig verschillende antivirus-engines kunnen laten controleren.
Deze week liet securitybedrijf Cysource weten dat remote code execution via het VirusTotal-platform mogelijk was. Via een kwetsbaarheid in ExifTool, software voor het bekijken en aanpassen van metadata in allerlei soorten bestanden, zou een aanvaller willekeurige code op het systeem kunnen uitvoeren als er een malafide afbeelding wordt geopend. Het gaat hier om een bekend beveiligingslek (CVE-2021-22204) waarvoor begin vorig jaar een update verscheen.
De onderzoekers claimden dat ze via deze kwetsbaarheid commando's op het VirusTotal-platform konden uitvoeren en toegang tot vijftig hosts met hoge rechten hadden. Cysource stelt daarnaast dat ze het probleem vorig jaar april aan Google rapporteerden. Het techbedrijf zou de bugmelding ruim een maand later in juni hebben gesloten Volgens Cysource was VirusTotal begin januari van dit jaar niet meer kwetsbaar en liet Google het toe om over het beveiligingslek te publiceren.
Via Twitter haalt Quintero uit naar de onderzoekers. Hij stelt dat het via de kwetsbaarheid niet mogelijk was om code op het VirusTotal-platform uit te voeren, maar er alleen controle over ongepatchte third-party antivirus toolboxes kon worden verkregen. Het ging hier niet om systemen van VirusTotal. Iets wat de onderzoekers wisten, aldus Quintero. Daarnaast klopt ook de tijdslijn niet die de onderzoekers noemen, zo laat hij verder weten. Cysource heeft nog niet op de kritiek van VirusTotal gereageerd en ook de eigen blogpost niet aangepast.
Deze posting is gelocked. Reageren is niet meer mogelijk.