Cualquiera puede acceder a errores de Firefox sin parches, ya que se ha encontrado que Bugzilla de Mozilla tiene fallos críticos

Table Of Contents

• Base de datos de errores de Mozilla violada, errores de día cero de Firefox accesibles para cualquiera - The Hack
• ¿Quiénes están afectados?
• ¿Qué tan grave es esto?

Base de datos de errores de Mozilla violada, errores de día cero de Firefox accesibles para cualquiera

Los hackers lograron a principios de este mes violar la base de datos de errores de Mozilla, lo que permitió a los atacantes acceder a 185 errores no públicos del popular navegador de internet Firefox, de los cuales 53 fueron categorizados como “vulnerabilidades severas”. Se sospecha que los visitantes de un sitio ruso se han visto afectados por al menos uno de estos.

Bueno, parece que los errores no públicos de Mozilla pueden no ser los únicos que están bajo amenaza. Una empresa de seguridad ha descubierto cómo obtener permisos de alto nivel en Bugzilla, la base de datos de susceptibilidades utilizada por Mozilla, así como por una serie de empresas privadas y proyectos de código abierto. Todo tipo de información sensible está incluida en esta base de datos, que también contiene información sobre susceptibilidades de las que se ha informado a las organizaciones pero que aún no se han solucionado. Es probable que un atacante pueda ver información de esta base de datos sobre problemas sin parches, que luego podría ser utilizada en contra de las personas que usan productos de Mozilla, o cualquier otro software que se vea afectado.

The Hack

Cuando se crea una cuenta en Bugzilla por un empleado de la organización o un colaborador, que probablemente sea parte de un equipo de seguridad, se enviará un correo electrónico de verificación para confirmar si realmente poseen la dirección. Sin embargo, el error, descubierto por PerimeterX y redactado por el investigador senior de susceptibilidades Netanel Rubin, permite a cualquiera crear una cuenta que parezca provenir de una organización específica, incluso si no trabaja para ella.

Para registrarse en Bugzilla, se requiere una dirección de correo electrónico de exactamente 255 bytes, que también incluye el dominio de la organización objetivo. La base de datos de Bugzilla recorta los datos en lugar de rechazar la cadena grande, para que se ajuste a la columna apropiada. El hacker luego adjunta un dominio que posee al final de esto.

Como resultado, el correo electrónico de verificación se une a Bugzilla y se envía a una cuenta controlada por el hacker, pero se le otorgan los accesos permitidos a la víctima.

Rubin escribe “Esto esencialmente realiza un ataque de escalada de privilegios, permitiéndonos obtener privilegios que de otro modo no podríamos.”

¿Quiénes están afectados?

“Básicamente, cualquiera que use Bugzilla,” dijo Rubin a WIRED en una entrevista telefónica, quien usa permisos basados en correo electrónico se ve afectado. Eso podría incluir varias distribuciones de Linux, incluyendo Red Hat, así como proyectos de software libre populares como LibreOffice y Apache Project. El sitio web de Bugzilla tiene 136 otros proyectos listados, aunque eso solo incluye los que son de cara al público. El sitio web de Bugzilla dice “Probablemente hay al menos 10 veces más privados.”

Mozilla también se ve afectada, cuya gran cantidad de susceptibilidades no públicas ya ha sido accedida. Este error fue realmente probado en Bugzilla de Mozilla. Además, también podría tener un efecto indirecto en los usuarios cotidianos. Cualquier susceptibilidad que sea conocida por los hackers al acceder al sistema Bugzilla de una empresa está lista para ser utilizada.

Rubin dijo a WIRED que, aunque no es posible decir si el error ha sido explotado activamente, probablemente ha existido durante alrededor de cinco a siete años.

¿Qué tan grave es esto?

Si bien la amenaza es de riesgo medio, no está claro si el error ha sido utilizado maliciosamente para obtener acceso a susceptibilidades más jugosas. Los consumidores normales no necesitan preocuparse de inmediato, ya que Bugzilla ha parcheado el problema el 10 de septiembre.

Sin embargo, este problema necesita ser examinado seriamente por los administradores de Bugzilla y deben asegurarse de que la solución se realice, si es que no lo han hecho ya. Algunos de los proyectos de software más famosos utilizan Bugzilla, incluyendo a las personas que se encargan del navegador Firefox. Lo otro preocupante es cómo una susceptibilidad aparentemente poco importante puede ser explotada.

“Es súper fácil. Es solo una solicitud simple, y eso es todo, estás dentro,” continuó Rubin. Un hacker después de obtener acceso podría posiblemente ver información relacionada con cualquier susceptibilidad conocida por los mantenedores del producto, pero que aún no ha sido parcheada. “Las implicaciones de esta vulnerabilidad son severas: podría permitir a un atacante acceder a vulnerabilidades de seguridad no divulgadas en cientos de productos,” continúa el escrito de Rubin.