Quiconque peut accéder aux bugs non corrigés de Firefox alors que Bugzilla de Mozilla s'avère être gravement bogué

Table des matières

• Base de données de bugs de Mozilla compromise, bugs zero-day de Firefox accessibles à tous - The Hack
• Qui est concerné ?
• Quelle est la gravité de cela ?

Base de données de bugs de Mozilla compromise, bugs zero-day de Firefox accessibles à tous

Des hackers ont réussi plus tôt ce mois-ci à compromettre la base de données de bugs de Mozilla, ce qui a permis aux attaquants d’accéder à 185 bugs non publics pour le navigateur Internet populaire Firefox, dont 53 étaient classés comme “vulnérabilités graves”. Des visiteurs d’un site russe ont été soupçonnés d’être affectés par au moins l’un d’eux.

Eh bien, il semble que les bugs non publics de Mozilla ne soient peut-être pas les seuls menacés. Une entreprise de sécurité a découvert comment obtenir des autorisations de haut niveau sur Bugzilla, la base de données de vulnérabilités utilisée par Mozilla ainsi qu’un certain nombre d’entreprises privées et de projets open-source. Toutes sortes d’informations sensibles sont incluses dans cette base de données, qui contient également des informations sur les vulnérabilités dont les organisations ont été informées mais qui n’ont pas encore été corrigées. Il est probablement possible pour un attaquant de consulter des informations de cette base de données sur des problèmes non corrigés, qui pourraient ensuite être utilisées contre les personnes utilisant des produits Mozilla, ou tout autre logiciel affecté.

The Hack

Lorsqu’un compte sur Bugzilla est créé par un employé ou un contributeur d’une organisation, qui fait probablement partie d’une équipe de sécurité, un e-mail de vérification est envoyé pour vérifier s’ils possèdent réellement l’adresse. Cependant, le bogue, découvert par PerimeterX et rédigé par le chercheur senior en vulnérabilités Netanel Rubin, permet à quiconque de créer un compte semblant provenir d’une organisation spécifique, même s’ils n’y travaillent pas.

Pour s’inscrire sur Bugzilla, une adresse e-mail de exactement 255 octets est requise, ce qui inclut également le domaine de l’organisation cible. La base de données de Bugzilla réduit les données au lieu de rejeter la chaîne longue, afin de la faire tenir dans la colonne appropriée. Le hacker attache ensuite un domaine qu’il possède à la fin de cela.

En conséquence, l’e-mail de vérification rejoint Bugzilla en étant envoyé à un compte contrôlé par le hacker, mais en étant donné l’accès autorisé à la cible.

Rubin écrit : “Cela effectue essentiellement une attaque par élévation de privilèges, nous permettant d’obtenir des privilèges que nous n’aurions pas pu obtenir autrement.”

Qui est concerné ?

“En gros, quiconque utilise Bugzilla,” a déclaré Rubin à WIRED lors d’un entretien téléphonique, qui utilise des autorisations basées sur l’e-mail est concerné. Cela pourrait inclure un certain nombre de distributions Linux, y compris Red Hat ainsi que des projets de logiciels libres populaires tels que LibreOffice et Apache Project. Le site Web de Bugzilla a 136 autres projets répertoriés, même si cela n’inclut que ceux en accès public. Le site Web de Bugzilla indique : “Il y a probablement au moins 10 fois plus de projets privés.”

Mozilla est également concernée, dont le grand cache de vulnérabilités non publiques a déjà été accédé. Ce bogue a en fait été testé sur Bugzilla de Mozilla. De plus, cela pourrait également avoir un effet indirect sur les utilisateurs quotidiens. Toute vulnérabilité connue des hackers en accédant au système Bugzilla d’une entreprise est prête à être exploitée.

Rubin a déclaré à WIRED que bien qu’il ne soit pas possible de dire si le bogue a été exploité activement, il existe probablement depuis environ cinq à sept ans.

Quelle est la gravité de cela ?

Bien que la menace soit de risque moyen, il n’est pas clair si le bogue a été utilisé de manière malveillante pour accéder à des vulnérabilités plus juteuses. Les consommateurs normaux n’ont pas besoin de s’inquiéter immédiatement, car Bugzilla a corrigé le problème le 10 septembre.

Cependant, ce problème doit être examiné sérieusement par les administrateurs de Bugzilla et ils doivent s’assurer que la correction est effectuée, s’ils ne l’ont pas déjà fait. Certains des projets logiciels les plus célèbres utilisent Bugzilla, y compris ceux qui s’occupent du navigateur Firefox. L’autre chose inquiétante est la façon dont une vulnérabilité apparemment peu importante peut être exploitée.

“C’est super facile. C’est juste une simple requête, et c’est tout, vous êtes dedans,” a poursuivi Rubin. Un hacker après avoir obtenu l’accès pourrait éventuellement consulter des informations liées à toute vulnérabilité connue des responsables du produit, mais pas encore corrigée. “Les implications de cette vulnérabilité sont graves - elle pourrait permettre à un attaquant d’accéder à des vulnérabilités de sécurité non divulguées dans des centaines de produits,” continue l’écriture de Rubin.