Virustotal: Einbrecher führen eigenen Code auf Googles Servern aus

Bei seinem Scan-Dienst Virustotal hat Google eine veraltete exiftool-Version eingesetzt. Eine Sicherheitslücke ermöglichte Forschern den Einbruch in den Dienst.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 19 Beiträge
Aufmacher Virustotal-Einbruch

(Bild: bluesroad/Shutterstock.com)

Von
  • Dirk Knop

Veraltete Komponenten und Module stellen ein Sicherheitsproblem dar – das musste auch Google feststellen. In dem Online-Virenscannerdienst Virustotal des Unternehmens kam eine alte Version von exiftool zum Einsatz, das Informationen aus Bilddateien extrahiert. Durch eine Sicherheitslücke darin konnten IT-Sicherheitsforscher mit manipulierten Bilddateien eigenen Code einschleusen und so Zugriff auf die Server des Dienstes erlangen.

Der Dienst Virustotal nimmt Dateien entgegen und verteilt diese an die eigenen Server mit rund 70 Virenscannern. Neben dem reinen Virenscan führt Virustotal weitere Untersuchungen aus und extrahiert etwa Metadaten aus den Dateien. Für Bilddateien nutzt das System exiftool. Aufgrund der enthaltenen Sicherheitslücke in der veralteten Version mit dem CVE-Eintrag CVE-2021-22204 (CVSS 7.8, Risiko hoch) liefert der Aufruf des Werkzeugs mit sorgsam präparierten Bilddateien keine Metadaten zurück, sondern führt den darin eingebetteten Schadcode aus.

Die Zusammenfassung der Schwachstelle lautet: "Ungenügende Neutralisierung von Benutzerdaten im DjVu-Dateiformat in ExifTool Version 7.44 und aufwärts ermöglicht das Ausführen beliebigen Codes beim Verarbeiten des bösartigen Bildes." Im Netz findet sich fertig nutzbarer Exploit-Code, mit dem sich einfach manipulierte DjVu-Dateien erstellen lassen, die die Schwachstelle zum Ausführen eigenen Programmcodes missbrauchen.

Genau solche DjVu-Dateien haben IT-Sicherheitsforscher erstellt, die als Nutzlast eine Reverse-Shell bereitstellen. In einer Meldung sammeln die CySource-Forscher viele Screenshots davon, wie sie sich auf den Systemen umsehen und mit jeder neu hochgeladenen Datei mit abweichendem Hashwert Zugriff auf eine andere Maschine erhalten.

In ihren Tests konnten sie Zugriff auf mehr als 50 interne Hosts ergattern – mit hohen Privilegien, als Nutzer root. Dabei stießen sie auf zahlreiche aktive Dienste wie http- und https-Anwendungen und -Dienste, Kubernetes, mysql, Oracle-Datenbanken oder SSH. Durch den weitreichenden Zugriff waren auch Einblicke in Daten wie Kubernetes-Token und -Zertifikate, Dienste-Konfigurationen, Quellcodes, Log-Dateien und ähnliche möglich.

Google hat die Sicherheitslücke im Virustotal-Dienst inzwischen geschlossen. Dass solche Fehler auch bei so großen Konzernen auftreten, die renommierte IT-Sicherheitsexperten und -abteilungen beschäftigen, zeigt, dass es kein triviales Problem ist, die Software und dabei eingesetzte Komponenten stets auf dem aktuellen Stand zu halten.

Wie einfach Einbrüche hingegen etwa in kritische Infrastrukturen sind, zeigten IT-Sicherheitsforscher auch auf dem jüngst abgehaltenen Pwn2Own-Wettbewerb.

Update 26.04.2022 16:00 Uhr: Der Virustotal-Gründer Bernardo Quintero twitterte, dass keine VT-Maschinen direkt betroffen waren. Es handelte sich um Dritthersteller-und Partner-Maschinen etwa bei Antivirus-Herstellern, die die Daten von Virustotal für ihre Zwecke analysieren, erläutert Quintero dort.

(dmk)