Des doutes ont surgi quant à la véracité des recherches qui démontrent prétendument une grave vulnérabilité impliquant VirusTotal, un service de comparaison antivirus et de renseignements sur les menaces appartenant à Google.

VirusTotal (VT) propose un service qui permet aux chercheurs en sécurité, aux administrateurs système et autres d’analyser les fichiers, domaines, adresses IP et URL suspects via un service agrégé qui regroupe près de 70 produits antivirus et moteurs d’analyse.

Les échantillons soumis via le service sont automatiquement partagés au sein de la communauté de la sécurité, y compris, mais sans s’y limiter, les fournisseurs qui gèrent les moteurs d’analyse utilisés par VT.

Dans un article de blog publié mardi, le fournisseur de plateforme d’éducation à la cybersécurité basé en Israël, Cysource, affirme que les chercheurs ont pu « exécuter des commandes à distance dans [the] plate-forme VirusTotal et accédez à ses différentes capacités d’analyse ».

L’attaque repose sur un fichier DJVU falsifié avec une charge utile malveillante ajoutée aux métadonnées du fichier. Cette charge utile repose sur la CVE-2021-22204 vulnérabilité dans un outil d’analyse de métadonnées, Exiftool, pour ensuite réaliser l’exécution de code à distance (RCE) et un shell distant.

Les conclusions des chercheurs de Cysource ont été soumises via le VRP de Google en avril 2021 et résolues un mois plus tard.

Mais plutôt que de démontrer un moyen de militariser VirusTotal, comme ils le suggèrent, tout ce que Cysource a montré est un moyen de pirater une boîte à outils antivirus tierce non corrigée, selon VirusTotal.

Revendications contestées

Dans un réfutation de la recherche publiée sous forme de fil sur TwitterBernardo Quintero, fondateur de VirusTotal, a déclaré que les exécutions de code se produisent sur des systèmes d’analyse tiers qui prennent et analysent des échantillons obtenus à partir de VT plutôt que VirusTotal lui-même.

VirusTotal n’utilise pas la version vulnérable d’Exiftool et, de plus, aucune des machines concernées n’a été maintenue par VT, selon Quintero.

Quintero a déclaré en avoir informé les chercheurs en réponse à leur divulgation initiale en mai dernier. Il a critiqué leur décision de publier ce qu’il considère comme des conclusions trompeuses.

« Rien [of the] La machine rapportée provenait de VT et les «chercheurs» le savaient », selon Quintero.

La gorgée quotidienne a contacté Cysource pour obtenir une réponse à cette critique et mettra à jour cette histoire au fur et à mesure que de plus amples informations seront disponibles.

Cysource nous a répondu le 10 mai avec la déclaration suivante :

La recherche a été publiée en toute transparence sur The Hacker News et a été contrôlée et vérifiée le voici en entier description de nos constatations en matière de sécurité.

La recherche a été menée dans le cadre d’un programme officiel Google VRP. Les détails de l’article ont été publiés dans The Hacker News grâce à une collaboration conjointe de THN, VT by Google, Google VRP et CySource.