Phát hiện nền tảng VirusTotal của Google có lỗ hổng RCE

Vân Tước
26/04/2022 19:37
D

Các nhà nghiên cứu bảo mật đã tiết lộ một lỗ hổng bảo mật trong nền tảng VirusTotal có khả năng bị khai thác để thực thi mã từ xa (RCE). RCE cho phép kẻ tấn công làm chủ máy tính hoặc máy chủ bằng cách chạy tự ý các phần mềm độc hại (malware) bất kể máy tính ấy được đặt ở đâu.

lỗ hỏng REC

Ảnh minh họa.

RCE là gì? Remote Code Execution là gì?

RCE là viết tắt của Remote Code Execution, dịch ra tiếng Việt là Thực thi mã từ xa. RCE là kỹ thuật tấn công mạng của hacker dựa vào lỗ hổng hoặc sơ hở nào đó của hệ thống để truy cập từ xa vào máy tính hoặc mạng máy tính của nạn nhân. Từ đó, hacker có thể thực thi các mã độc, phần mềm độc hại trên thiết bị của nạn nhân mà không cần tiếp xúc trực tiếp với thiết bị.

Trong một số trường hợp, hacker có thể tiến hành tấn công RCE mà không cần sự tương tác của nạn nhân. Trong trường hợp khác, hacker có thể lừa nạn nhân bấm vào link chứa mã độc để chiếm quyền kiểm soát và sau đó tiến hành tấn công RCE.

RCE là một trong những phương thức tấn công nguy hiểm nhất vì kẻ tấn công có thể tùy ý cài đặt mã độc lên máy của nạn nhân cũng như có thể đánh cắp các dữ liệu nhạy cảm của nạn nhân.

VirusTotal của Google, lỗ hỏng REV

Lỗ hổng RCE trong nền tảng VirusTotal của Google 

VirusTotal là một chi nhánh của công ty bảo mật Chronicle, thuộc công ty con của Google, chuyên về dịch vụ quét phần mềm độc hại, phân tích các tệp tin và URL khả nghi đồng thời kiểm tra vi-rút bằng cách sử dụng hơn 70 sản phẩm chống vi-rút của bên thứ ba.

Phương thức tấn công liên quan đến việc tải lên tệp tin DjVu thông qua giao diện người dùng web của nền tảng. Tin tặc sử dụng tệp này để kích hoạt khai thác lỗ hổng thực thi mã từ xa có mức độ nghiêm trọng cao trong ExifTool, một tiện ích mã nguồn mở được sử dụng để đọc và chỉnh sửa thông tin siêu dữ liệu EXIF trong các file ảnh và PDF.

Lỗ hổng có số hiệu là CVE-2021-22204, điểm CVSS là 7,8, có mức độ nghiêm trọng cao. Đây là một trường hợp thực thi mã tùy ý phát sinh ra từ việc các tệp tin DjVu không được quản lý đúng trong ExifTool. Sự cố đã được các nhà bảo trì vá lỗi trong bản cập nhật bảo mật được phát hành vào ngày 13/4/2021.

Các nhà nghiên cứu lưu ý rằng việc khai thác lỗ hổng không chỉ sẽ cấp quyền truy cập vào các môi trường do Google kiểm soát mà còn cho hơn 50 máy chủ nội bộ với các đặc quyền cấp cao.

VirusTotal của Google, lỗ hỏng REV

Theo các nhà nghiên cứu: "Mỗi khi chúng tôi tải lên một tệp tin có hàm băm mới chứa payload (phần dữ liệu vận chuyển của một gói tin) mới, VirusTotal sẽ chuyển tiếp payload đó đến các máy chủ khác. Vì vậy, RCE không chỉ được chuyển đến chúng tôi mà nó còn được các máy chủ của Google chuyển tiếp tới mạng nội bộ, khách hàng và các đối tác của Google".

Cysource cho biết đã báo cáo về lỗ hổng thông qua chương trình khen thưởng lỗ hổng bảo mật (VRP) của Google vào ngày 30/4/2021, sau đó lỗ hổng bảo mật đã được xử lý ngay lập tức.

Đây không phải là lần đầu tiên lỗ hổng ExifTool xuất hiện như một đường dẫn để thực thi mã từ xa. Năm ngoái, GitLab đã xử lý một lỗ hổng nghiêm trọng là CVE-2021-22205, với điểm CVSS là 10, liên quan đến việc xác thực không đúng những hình ảnh do người dùng cung cấp, dẫn đến việc thực thi mã tùy ý.

Theo Tạp chí Điện tử / nguồn: thehackernews

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Tấn công mạng trong năm 2022 có mức độ nghiêm trọng chưa từng có

Tấn công mạng trong năm 2022 có mức độ nghiêm trọng chưa từng có

 5 bước bảo vệ doanh nghiệp suốt mùa lễ Tết

 5 bước bảo vệ doanh nghiệp suốt mùa lễ Tết

Top 5 mối đe dọa các DNVVN cần đề phòng trong năm 2023

Top 5 mối đe dọa các DNVVN cần đề phòng trong năm 2023

An ninh mạng - Nền tảng cho mọi hoạt động của xã hội trong không gian số

An ninh mạng - Nền tảng cho mọi hoạt động của xã hội trong không gian số

TikTok đang bị coi là mối đe doạ an ninh mới với nước Mỹ

TikTok đang bị coi là mối đe doạ an ninh mới với nước Mỹ

96% các doanh nghiệp sở hữu hệ thống OT tại Việt Nam ghi nhận sự cố tấn công an ninh mạng

96% các doanh nghiệp sở hữu hệ thống OT tại Việt Nam ghi nhận sự cố tấn công an ninh mạng

Rủi ro an ninh mạng gia tăng do robot hóa

Rủi ro an ninh mạng gia tăng do robot hóa

Xu hướng tội phạm mạng năm 2023 có gì mới?

Xu hướng tội phạm mạng năm 2023 có gì mới?

'Cần tăng cường an ninh mạng thông qua hợp tác'

'Cần tăng cường an ninh mạng thông qua hợp tác'

Rủi ro bảo mật từ ứng dụng Qatar World Cup

Rủi ro bảo mật từ ứng dụng Qatar World Cup

Lượng mã độc đào tiền mã hóa tăng chóng mặt

Lượng mã độc đào tiền mã hóa tăng chóng mặt

Nguy cơ tấn công mạng vào hệ thống tại Việt Nam từ 18 lỗ hổng trong sản phẩm Microsoft

Nguy cơ tấn công mạng vào hệ thống tại Việt Nam từ 18 lỗ hổng trong sản phẩm Microsoft

Tin mới cập nhật

Chợ Viềng - Phủ Dày: Nét văn hoá đặc sắc của nền văn minh lúa nước trong thời đại số 1

Chợ Viềng - Phủ Dày: Nét văn hoá đặc sắc của nền văn minh lúa nước trong thời đại số 1

Những STT, lời chúc hay và ý nghĩa cho Xuân Quý Mão 2023

Những STT, lời chúc hay và ý nghĩa cho Xuân Quý Mão 2023

Công nghệ thân thiện với môi trường giúp cuộc sống phát triển bền vững

Công nghệ thân thiện với môi trường giúp cuộc sống phát triển bền vững

Nâng tỉ lệ bồi thường bảo hiểm bắt buộc cho xe máy để tăng cường an sinh

Nâng tỉ lệ bồi thường bảo hiểm bắt buộc cho xe máy để tăng cường an sinh

Phương pháp mới phát hiện tự kỷ ra sao?

Phương pháp mới phát hiện tự kỷ ra sao?

Dự báo công nghệ năm 2023 của Keysight - Kiến giải từ hãng đo lường và kiểm thử hàng đầu thị trường (phần 2)

Dự báo công nghệ năm 2023 của Keysight - Kiến giải từ hãng đo lường và kiểm thử hàng đầu thị trường (phần 2)

ZaloPay đã chính thức hiện diện trên ứng dụng Grab

ZaloPay đã chính thức hiện diện trên ứng dụng Grab

"Tết trao yêu thương - Nhẹ vốn đậm lời”

"Tết trao yêu thương - Nhẹ vốn đậm lời”

Ảo hoá trải nghiệm - Cuộc đua mới của ngành công nghiệp ô tô toàn cầu

Ảo hoá trải nghiệm - Cuộc đua mới của ngành công nghiệp ô tô toàn cầu

Tấn công mạng trong năm 2022 có mức độ nghiêm trọng chưa từng có

Tấn công mạng trong năm 2022 có mức độ nghiêm trọng chưa từng có

Chợ 4.0 - Chuyển đổi số từ những nhân tố đời thường nhất ở Cần Thơ

Chợ 4.0 - Chuyển đổi số từ những nhân tố đời thường nhất ở Cần Thơ

Quy chuẩn trụ sạc xe điện - Cơ sở cho thị trường xe điện phát triển

Quy chuẩn trụ sạc xe điện - Cơ sở cho thị trường xe điện phát triển

Tin đọc nhiều

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Quy trình quản lý vật chứa bí mật nhà nước

Quy trình quản lý vật chứa bí mật nhà nước

Video xem nhiều

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019