未修正のFirefoxバグに誰でもアクセス可能、MozillaのBugzillaが致命的なバグを抱えていることが判明

Table Of Contents

• Mozillaのバグトラッカーが侵害され、Firefoxのゼロデイバグが誰でもアクセス可能 - The Hack
• 誰が影響を受けるのか？
• どれほど深刻なのか？

Mozillaのバグトラッカーが侵害され、Firefoxのゼロデイバグが誰でもアクセス可能

今月初め、ハッカーはMozillaのバグデータベースに侵入し、人気のインターネットブラウザFirefoxの185件の非公開バグにアクセスすることができました。そのうち53件は「深刻な脆弱性」と分類されています。ロシアのサイトの訪問者がこれらのうちの少なくとも1件に影響を受けていると疑われています。

どうやら、Mozillaの非公開バグだけが脅威にさらされているわけではないようです。あるセキュリティ会社は、Mozillaが使用している脆弱性データベースBugzillaで高レベルの権限を取得する方法を発見しました。このデータベースには、組織が知らされているがまだ修正されていない脆弱性に関する情報も含まれており、攻撃者が未修正の問題に関する情報を閲覧することが可能である可能性があります。これにより、Mozilla製品や影響を受ける他のソフトウェアを使用している人々に対して攻撃が行われる可能性があります。

The Hack

Bugzillaにアカウントを作成する際、組織の従業員や貢献者（セキュリティチームの一員である可能性が高い）には、実際にそのアドレスを所有しているか確認するための確認メールが送信されます。しかし、PerimeterXによって発見され、上級脆弱性研究者のNetanel Rubinによって書かれたこのバグは、誰でも特定の組織から来ているように見えるアカウントを作成できることを可能にしました。

Bugzillaに登録するには、正確に255バイトのメールアドレスが必要で、ターゲット組織のドメインも含まれています。Bugzillaのデータベースは、大きな文字列を拒否するのではなく、適切なカラムに収まるようにデータを切り詰めます。ハッカーはその後、自分が所有するドメインをこの文字列の末尾に追加します。

その結果、確認メールはBugzillaに送信され、ハッカーが制御するアカウントに送られますが、ターゲットに許可されたアクセスが与えられます。

Rubinは「これは本質的に特権昇格攻撃を実行し、我々がそうでなければ取得できなかった特権を得ることを可能にします」と書いています。

誰が影響を受けるのか？

「基本的に、Bugzillaを使用している誰でもです」とRubinはWIREDの電話インタビューで述べました。メールベースの権限を使用している場合、Red Hatを含む多くのLinuxディストリビューションや、LibreOfficeやApache Projectなどの人気のあるフリーソフトウェアプロジェクトが含まれる可能性があります。Bugzillaのウェブサイトには、公開されているものだけで136の他のプロジェクトがリストされていますが、「おそらくプライベートなものはその10倍以上あります」とも記載されています。

Mozillaも影響を受けており、彼らの非公開の脆弱性の大規模なキャッシュがすでにアクセスされています。このバグは実際にMozillaのBugzillaでテストされました。さらに、日常のユーザーにも間接的な影響を及ぼす可能性があります。ハッカーが企業のBugzillaシステムにアクセスすることで知られている脆弱性は、使用される準備が整っています。

RubinはWIREDに対し、このバグが悪用されているかどうかは言えないが、約5〜7年前から存在している可能性が高いと述べました。

どれほど深刻なのか？

脅威は中程度のリスクですが、このバグが悪意を持って使用され、より重要な脆弱性にアクセスするために利用されたかどうかは不明です。一般の消費者はすぐに心配する必要はありません。Bugzillaは9月10日にこの問題を修正しました。

しかし、この問題はBugzillaの管理者によって真剣に検討される必要があり、もしまだ修正が行われていない場合は、修正が行われることを確認する必要があります。Firefoxブラウザの管理を行っている人々を含む、最も有名なソフトウェアプロジェクトのいくつかがBugzillaを使用しています。もう一つの懸念は、どれほど重要でない脆弱性が悪用される可能性があるかです。

「非常に簡単です。単純なリクエストを1つ送るだけで、あなたはアクセスできます」とRubinは続けました。アクセスを得たハッカーは、製品のメンテナによって知られているがまだ修正されていない脆弱性に関連する情報を確認する可能性があります。「この脆弱性の影響は深刻です。攻撃者が数百の製品における未公開のセキュリティ脆弱性にアクセスできる可能性があります」とRubinの記述は続きます。