Chiunque può accedere ai bug non corretti di Firefox poiché Bugzilla di Mozilla si è rivelato critico

Table Of Contents

• Tracker dei bug di Mozilla violato, bug zero-day di Firefox accessibili a chiunque - The Hack
• Chi è colpito?
• Quanto è grave?

Tracker dei bug di Mozilla violato, bug zero-day di Firefox accessibili a chiunque

I hacker sono riusciti all’inizio di questo mese a violare il database dei bug di Mozilla, consentendo agli attaccanti di accedere a 185 bug non pubblici per il popolare browser internet Firefox, di cui 53 sono stati classificati come “vulnerabilità gravi”. I visitatori di un sito russo sono stati sospettati di essere colpiti da almeno uno di questi.

Bene, sembra che i bug non pubblici di Mozilla potrebbero non essere gli unici a essere sotto minaccia. Una società di sicurezza ha scoperto come ottenere permessi di alto livello su Bugzilla, il database delle vulnerabilità utilizzato da Mozilla così come da una serie di aziende private e progetti open-source. Tutti i tipi di informazioni sensibili sono inclusi in questo database, che contiene anche informazioni su vulnerabilità di cui le organizzazioni sono state informate ma non ancora risolte. È probabile che un attaccante possa visualizzare informazioni da questo database su problemi non corretti, che potrebbero poi essere utilizzate contro le persone che utilizzano i prodotti Mozilla, o qualsiasi altro software che è stato colpito.

The Hack

Quando un account su Bugzilla viene creato da un dipendente o un collaboratore di un’organizzazione, che probabilmente fa parte di un team di sicurezza, verrà inviata un’email di verifica per confermare se possiedono effettivamente l’indirizzo. Tuttavia, il bug, scoperto da PerimeterX e redatto dal ricercatore senior di vulnerabilità Netanel Rubin, consente a chiunque di creare un account apparendo come se provenisse da un’organizzazione specifica, anche senza lavorarci.

Per registrarsi su Bugzilla, è richiesto un indirizzo email di esattamente 255 byte, che include anche il dominio dell’organizzazione target. Il database di Bugzilla riduce i dati invece di rifiutare la stringa lunga, per farla rientrare nella colonna appropriata. L’hacker quindi allega un dominio di sua proprietà alla fine di questo.

Di conseguenza, l’email di verifica si unisce a Bugzilla ed è inviata a un account controllato dall’hacker, ma con l’accesso consentito al target.

Rubin scrive: “Questo esegue essenzialmente un attacco di escalation dei privilegi, consentendoci di ottenere privilegi che altrimenti non potremmo.”

Chi è colpito?

“Fondamentalmente, chiunque utilizzi Bugzilla,” ha detto Rubin a WIRED in un’intervista telefonica, chi utilizza permessi basati su email è colpito. Questo potrebbe includere un numero di distribuzioni Linux, tra cui Red Hat, così come progetti di software libero popolari come LibreOffice e Apache Project. Il sito web di Bugzilla ha 136 altri progetti elencati, anche se questo include solo quelli pubblici. Il sito web di Bugzilla afferma: “Probabilmente ci sono almeno 10 volte tanti progetti privati.”

Mozilla è anche colpita, il cui grande archivio delle loro vulnerabilità non pubbliche è già stato accessibile. Questo bug è stato effettivamente testato su Bugzilla di Mozilla. Inoltre, potrebbe avere anche un effetto indiretto sugli utenti quotidiani. Qualsiasi vulnerabilità nota agli hacker accedendo al sistema Bugzilla di un’azienda è pronta per essere utilizzata.

Rubin ha detto a WIRED che mentre non è possibile dire se il bug sia stato sfruttato attivamente, probabilmente esiste da circa cinque a sette anni.

Quanto è grave?

Sebbene la minaccia sia di rischio medio, non è chiaro se il bug sia stato utilizzato in modo malevolo per ottenere accesso a vulnerabilità più succulente. I normali consumatori non devono preoccuparsi immediatamente, poiché Bugzilla ha corretto il problema il 10 settembre.

Tuttavia, questo problema deve essere esaminato seriamente dagli amministratori di Bugzilla e devono assicurarsi che la correzione venga effettuata, se non l’hanno già fatto. Alcuni dei progetti software più famosi utilizzano Bugzilla, inclusi coloro che si occupano del browser Firefox. Un’altra cosa preoccupante è come una vulnerabilità apparentemente poco importante possa essere sfruttata.

“È super facile. È solo una semplice richiesta, e basta, sei dentro,” ha continuato Rubin. Un hacker dopo aver ottenuto accesso potrebbe possibilmente esaminare informazioni relative a qualsiasi vulnerabilità nota ai manutentori del prodotto, ma non ancora corretta. “Le implicazioni di questa vulnerabilità sono gravi - potrebbe consentire a un attaccante di accedere a vulnerabilità di sicurezza non divulgate in centinaia di prodotti,” continua il resoconto di Rubin.