2024-03-29 23:15 (금)
바이러스 토탈 플랫폼에서 심각한 원격코드실행 취약점 발견
상태바
바이러스 토탈 플랫폼에서 심각한 원격코드실행 취약점 발견
  • 페소아 기자
  • 승인 2022.04.26 15:52
이 기사를 공유합니다

잠재적으로 무기화될 수 있는 바이러스토탈(VirusTotal) 플랫폼의 원격 코드 실행(RCE) 보안 취약점이 공개되었다.

더해커뉴스에 따르면, 현재는 패치된 이 결함을 공개한 싸이소스(Cysource) 연구원 Shai Alfasi와 Marlon Fabiano da Silva은 "바이러스토탈 플랫폼 내에서 원격으로 명령을 실행하고 다양한 스캔 기능에 액세스할 수 있다"라고 설명했다.

구글의 크로니클 보안 자회사인 바이러스토탈은 70개 이상의 타사 바이러스 백신 제품을 사용하여 의심스러운 파일과 URL을 분석하고 바이러스를 검사하는 악성 코드 검사 서비스이다.

취약점을 악용하는 방법은 플랫폼의 웹 사용자 인터페이스를 통해 DjVu 파일을 업로드하는 것이었다. 이를 사용하여 이미지와 PDF 파일의 EXIF 메타데이터 정보를 읽고 편집하는 데 사용되는 오픈 소스 유틸리티인 ExifTool의 심각도가 높은 원격 코드 실행 결함에 대한 익스플로잇을 트리거했다. 

CVE-2021-22204(CVSS 점수: 7.8)로 추적되는 ExifTool의 취약점은 DjVu 파일을 잘못 처리하여 발생하는 임의 코드 실행이다. 이 문제는 2021년 4월 13일에 릴리스된 보안 업데이트에서 유지 관리자에 의해 패치되었다.

연구원들은 이러한 악용의 결과로 구글이 제어하는 환경뿐만 아니라 높은 수준의 권한을 가진 50개 이상의 내부 호스트에 대한 액세스 권한이 부여되었다고 밝혔다.

"흥미로운 부분은 우리가 새로운 페이로드를 포함하는 새로운 해시가 있는 파일을 업로드할 때마다 바이러스토탈이 페이로드를 다른 호스트로 전달했다는 것이다. 따라서 RCE가 있을 뿐만 아니라 구글 서버에서 구글 내부 네트워크, 고객 및 파트너에게 RCE가 전달된 것이다."라고 연구원이 말했다. 

싸이소스는 2021년 4월 30일 구글의 VRP(Vulnerability Reward Programs)를 통해 버그를 보고한 후 보안 취약점을 즉시 수정했다고 밝혔다.

ExifTool 결함이 원격 코드 실행을 위한 통로로 등장한 것은 이번이 처음이 아니다. 작년에 GitLab은 사용자 제공 이미지의 부적절한 유효성 검사와 관련된 치명적인 임의코드 실행 결함(CVE-2021-22205, CVSS 점수: 10.0)을 수정했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★