Es gibt immer wieder Schwachstellen, die das Potential haben, für sehr weitreichende Probleme zu sorgen, seit langem veröffentlicht aber dennoch wenigen bekannt sind. Eine davon ist eine Schwachstelle im Exiftool.
Die als CVE-2021-22204 (CVSS-Bewertung: 7,8) registrierte Schwachstelle wurde im Rahmen des Bug Bounty-Programms von Gitlab aufgedeckt und bereits in einem am 13. April 2021 veröffentlichten Sicherheitsupdate behoben. Dennoch möchten wir heute näher auf diese mit hohem Schweregrad ausgezeichnete Schwachstelle eingehen, die wir für unsere angeschlossenen Kunden detaillierter untersucht haben.
Detaillierte Analyse
Exiftool ist ein in Perl entwickeltes Tool sowie eine Bibliothek, die Metadaten aus fast allen Dateitypen extrahiert. Die darin entdeckte Schwachstelle ermöglicht einen Angriff mit willkürlicher Remote-Codeausführung, die aus einer falschen Handhabung von DjVu-Dateien durch ExifTool entsteht.
Die Untersuchung des zur Verfügung gestellten Patchs gab uns Aufschluss darüber, wie die Ausnutzung der Schwachstelle genau funktioniert. Es zeigte sich, dass Strings mit Sonderzeichen mit einer Kombination aus Regex und einer eval-Anweisung versehen wurden. Wenn ein Angreifer Perl-Code in die ausgewertete Zeichenkette einschleusen und das „Anführungszeichen-Gefängnis“ umgehen könnte, wäre es trivial, beliebigen Perl-Code auszuführen.
Dieser Fehler hat also das Potenzial weitreichende Auswirkungen nach sich zu ziehen. Zumal anzunehmen ist, dass ExifTool im Backend vieler Websites von Unternehmen läuft und die Metadaten aus hochgeladenen Bildern ausliest. Jede dieser Websites kann daher auf triviale Weise durch das Hochladen eines modifizierten Bildes kompromittiert werden. Ein Beispiel: Sicherheitsforschern war es Ende April 2022 gelungen durch Ausnutzung dieser Schwachstelle in den Scan-Dienst „Virustotal“ einzubrechen und ungepatchte Antiviren-Sandboxen von Drittanbietern zu übernehmen. Daher empfehlen wir Patches grundsätzlich so früh wie möglich zu installieren.
Quellen:
https://www.cysrc.com/blog/virus-total-blog/
https://hackerone.com/reports/1154542
https://blog.convisoappsec.com/en/a-case-study-on-cve-2021-22204-exiftool-rce/
https://devcraft.io/2021/05/04/exiftool-arbitrary-code-execution-cve-2021-22204.html
https://nvd.nist.gov/vuln/detail/CVE-2021-22204
Unsere Handlungsempfehlungen:
– Wir empfehlen zu prüfen, ob das Tool tatsächlich verwendet wird. Falls ja, sollte umgehend die gepatchte Version 12.2 4 installiert werden.
– Als Betreiber eines Servers sollten Sie generell darauf achten, stets aktuelle Software zu nutzen und diese regelmäßig zu aktualisieren.
-Stellen Sie sicher, dass Betriebssystem-, Software- und Firmware-Patches installiert sind.