VirusTotal 被 Shell 了？

一个名叫 CySource 的团队发了一篇技术分析，讲述自己是如何利用一个 ExifTool 的已知漏洞，上传恶意文件样本到知名恶意软件分析服务 VirusTotal，从而拿下相关服务器权限：

https://www.cysrc.com/blog/virus-total-blog

文章中写道，他们上传了一个 CVE-2021-22204 的利用 PoC 文件（djvu 格式）到 VirusTotal。

content: (metadata "\c${system('bash -c \"{echo,BASE64-ENCODED-COMMAND-TO-BE-EXECUTED }|{base64,-d }|{bash,-i }\" ; clear') };")

这个漏洞影响 ExifTool 12.24 以下版本。尝试获取恶意文件的 EXIF 信息，将会执行系统命令。

他们上传文件之后很快获取了一个反弹 shell。通过这个 shell 探测服务器所处的内网环境，可以访问到不少敏感服务。

文章发出来之后，VirusTotal 的创始人 Bernardo Quintero (@bquintero) 亲自反驳：

他表示有服务器因为扫描恶意样本被执行代码不假，但这些服务器不属于 VT，而是第三方合作伙伴的服务。VT 的一些合作伙伴会自动下载和处理来自 VT 的样本。

去年五月 GoogleVRP 就明确答复 CySource 这些服务器不属于 VirusTotal，而且经过自查发现 VT 使用的 ExifTool 版本不受 CVE-2021-22204 影响。

Bernardo Quintero 对这种搞个大新闻的做法表示很无奈 ¯\_(ツ)_/¯

吃瓜群众又开始了新一轮的好奇，到底是哪个合作伙伴的服务器呢？

题图来自 Unsplash @amfiloxia_68