Jeder kann unpatched Firefox-Fehler zugreifen, da Mozillas Bugzilla als kritisch fehlerhaft befunden wurde

Table Of Contents

• Mozillas Fehlerverfolgungssystem gehackt, Firefox Zero-Day-Fehler für jeden zugänglich - The Hack
• Wer ist betroffen?
• Wie schwerwiegend ist das?

Mozillas Fehlerverfolgungssystem gehackt, Firefox Zero-Day-Fehler für jeden zugänglich

Hacker haben es Anfang dieses Monats geschafft, die Fehlerdatenbank von Mozilla zu hacken, was den Angreifern den Zugriff auf 185 nicht-öffentliche Fehler für den beliebten Internetbrowser Firefox ermöglichte, von denen 53 als „schwere Sicherheitsanfälligkeiten“ kategorisiert wurden. Besucher einer russischen Seite werden verdächtigt, von mindestens einem dieser Fehler betroffen zu sein.

Nun sieht es so aus, als ob Mozillas nicht-öffentliche Fehler nicht die einzigen sind, die bedroht sind. Ein Sicherheitsunternehmen hat herausgefunden, wie man hohe Berechtigungen auf Bugzilla, der Anfälligkeitsdatenbank, die von Mozilla sowie einer Reihe von privaten Unternehmen und Open-Source-Projekten verwendet wird, erhalten kann. In dieser Datenbank sind alle Arten von sensiblen Informationen enthalten, die auch Informationen über Anfälligkeiten umfassen, über die Organisationen informiert wurden, die jedoch noch nicht behoben wurden. Es ist wahrscheinlich möglich, dass ein Angreifer Informationen aus dieser Datenbank über unpatchte Probleme einsehen kann, die dann gegen Personen, die Mozilla-Produkte verwenden, oder gegen andere betroffene Software eingesetzt werden könnten.

The Hack

Wenn ein Konto auf Bugzilla von einem Mitarbeiter oder Mitwirkenden einer Organisation erstellt wird, der wahrscheinlich Teil eines Sicherheitsteams ist, wird eine Bestätigungs-E-Mail gesendet, um zu überprüfen, ob sie tatsächlich die Adresse besitzen. Der Fehler, der von PerimeterX entdeckt und von dem leitenden Anfälligkeitsforscher Netanel Rubin beschrieben wurde, ermöglicht es jedoch jedem, ein Konto zu erstellen, das so aussieht, als käme es von einer bestimmten Organisation, auch wenn sie dort nicht arbeiten.

Für die Registrierung auf Bugzilla ist eine E-Mail-Adresse von genau 255 Bytes erforderlich, die auch die Domain der Zielorganisation enthält. Die Datenbank von Bugzilla kürzt die Daten, anstatt die große Zeichenfolge abzulehnen, um sie in die entsprechende Spalte zu passen. Der Hacker fügt dann eine Domain hinzu, die ihm gehört.

Infolgedessen wird die Bestätigungs-E-Mail an Bugzilla gesendet und an ein vom Hacker kontrolliertes Konto gesendet, erhält jedoch die Berechtigungen, die der Zielorganisation gewährt werden.

Rubin schreibt: „Dies führt im Wesentlichen zu einem Privilegieneskalationsangriff, der es uns ermöglicht, Berechtigungen zu erhalten, die wir sonst nicht hätten.“

Wer ist betroffen?

„Im Grunde genommen jeder, der Bugzilla verwendet“, sagte Rubin in einem Telefoninterview mit WIRED, der E-Mail-basierte Berechtigungen verwendet. Dazu könnten eine Reihe von Linux-Distributionen gehören, einschließlich Red Hat, sowie beliebte Open-Source-Projekte wie LibreOffice und das Apache-Projekt. Die Bugzilla-Website listet 136 andere Projekte auf, obwohl nur die öffentlich zugänglichen enthalten sind. Die Bugzilla-Website besagt: „Es gibt wahrscheinlich mindestens zehnmal so viele private.“

Auch Mozilla ist betroffen, dessen großer Cache an nicht-öffentlichen Anfälligkeiten bereits abgerufen wurde. Dieser Fehler wurde tatsächlich auf Mozillas Bugzilla getestet. Darüber hinaus könnte es auch indirekte Auswirkungen auf alltägliche Benutzer haben. Alle Anfälligkeiten, die Hackern bekannt sind, indem sie auf das Bugzilla-System eines Unternehmens zugreifen, sind bereit zur Nutzung.

Rubin sagte WIRED, dass es zwar nicht möglich ist zu sagen, ob der Fehler aktiv ausgenutzt wurde, er wahrscheinlich seit etwa fünf bis sieben Jahren existiert.

Wie schwerwiegend ist das?

Während die Bedrohung ein mittleres Risiko darstellt, ist unklar, ob der Fehler böswillig genutzt wurde, um Zugang zu weiteren interessanten Anfälligkeiten zu erhalten. Die normalen Verbraucher müssen sich nicht sofort Sorgen machen, da Bugzilla das Problem am 10. September gepatcht hat.

Dieses Problem muss jedoch ernsthaft von den Bugzilla-Administratoren untersucht werden, und sie müssen sicherstellen, dass die Behebung erfolgt, falls sie dies noch nicht getan haben. Einige der bekanntesten Softwareprojekte verwenden Bugzilla, einschließlich der Personen, die sich um den Firefox-Browser kümmern. Eine weitere besorgniserregende Sache ist, wie unbedeutende Anfälligkeiten ausgenutzt werden können.

„Es ist super einfach. Es ist nur eine einfache Anfrage, und das war’s, du bist drin“, fuhr Rubin fort. Ein Hacker könnte nach dem Zugriff möglicherweise Informationen zu allen Anfälligkeiten einsehen, die den Produktverantwortlichen bekannt sind, aber noch nicht gepatcht wurden. „Die Auswirkungen dieser Sicherheitsanfälligkeit sind schwerwiegend – sie könnte einem Angreifer den Zugriff auf nicht offengelegte Sicherheitsanfälligkeiten in Hunderten von Produkten ermöglichen“, fährt Rubins Bericht fort.