패치되지 않은 Firefox 버그에 누구나 접근할 수 있는 것으로 확인된 Mozilla의 Bugzilla

Table Of Contents

• Mozilla 버그 추적기 침해, Firefox 제로데이 버그 누구나 접근 가능 - The Hack
• 누가 영향을 받는가?
• 이 문제의 심각성은?

Mozilla 버그 추적기 침해, Firefox 제로데이 버그 누구나 접근 가능

해커들은 이달 초 Mozilla의 버그 데이터베이스를 침해하여 공격자들이 인기 있는 인터넷 브라우저 Firefox의 비공식 버그 185개에 접근할 수 있게 되었으며, 이 중 53개는 “심각한 취약점”으로 분류되었습니다. 러시아 사이트의 방문자들이 이 중 최소 하나의 영향을 받았던 것으로 의심되고 있습니다.

잘 보니 Mozilla의 비공식 버그만이 위협을 받고 있는 것은 아닐 수 있습니다. 한 보안 회사는 Mozilla와 여러 민간 기업 및 오픈 소스 프로젝트에서 사용하는 취약성 데이터베이스인 Bugzilla에서 고급 권한을 얻는 방법을 발견했습니다. 이 데이터베이스에는 조직이 알고 있지만 아직 수정하지 않은 취약성에 대한 정보도 포함되어 있으며, 민감한 정보가 포함되어 있습니다. 공격자가 패치되지 않은 문제에 대한 정보를 이 데이터베이스에서 볼 수 있을 가능성이 있으며, 이는 Mozilla 제품을 사용하는 사람들 또는 영향을 받는 다른 소프트웨어에 대해 악용될 수 있습니다.

The Hack

조직의 직원이나 기여자가 Bugzilla에서 계정을 생성하면, 그들이 실제로 해당 주소를 소유하고 있는지 확인하기 위해 확인 이메일이 전송됩니다. 그러나 PerimeterX에 의해 발견되고 고위 취약성 연구원 Netanel Rubin이 작성한 이 버그는 누구나 특정 조직에서 오는 것처럼 보이는 계정을 생성할 수 있게 해줍니다. 심지어 그 조직에서 일하지 않더라도 말입니다.

Bugzilla에 등록하기 위해서는 정확히 255바이트의 이메일 주소가 필요하며, 여기에는 대상 조직의 도메인도 포함됩니다. Bugzilla의 데이터베이스는 큰 문자열을 거부하는 대신 적절한 열에 맞추기 위해 데이터를 잘라냅니다. 해커는 그 끝에 자신이 소유한 도메인을 붙입니다.

결과적으로 확인 이메일은 Bugzilla에 연결되어 해커가 제어하는 계정으로 전송되지만, 대상에게 허용된 접근 권한이 부여됩니다.

Rubin은 “이것은 본질적으로 권한 상승 공격을 수행하여 우리가 그렇지 않으면 얻을 수 없는 권한을 얻을 수 있게 해줍니다,”라고 썼습니다.

누가 영향을 받는가?

“기본적으로 Bugzilla를 사용하는 누구나,”라고 Rubin은 이메일 기반 권한을 사용하는 사람들에게 영향을 받는다고 WIRED와의 전화 인터뷰에서 말했습니다. 여기에는 Red Hat을 포함한 여러 Linux 배포판과 LibreOffice 및 Apache Project와 같은 인기 있는 무료 소프트웨어 프로젝트가 포함될 수 있습니다. Bugzilla 웹사이트에는 136개의 다른 프로젝트가 나열되어 있지만, 이는 공개적으로 드러난 것만 포함됩니다. Bugzilla 웹사이트는 “아마도 최소 10배 이상의 비공식 프로젝트가 있을 것입니다.”라고 읽습니다.

Mozilla도 영향을 받으며, 그들의 비공식 취약점의 대량 캐시가 이미 접근되었습니다. 이 버그는 실제로 Mozilla의 Bugzilla에서 테스트되었습니다. 또한, 이는 일반 사용자에게 간접적인 영향을 미칠 수 있습니다. 해커가 회사의 Bugzilla 시스템에 접근하여 알고 있는 취약성은 사용될 준비가 되어 있습니다.

Rubin은 WIRED에 이 버그가 적극적으로 악용되었는지 여부를 말할 수는 없지만, 아마도 5년에서 7년 정도 존재해 왔을 것이라고 말했습니다.

이 문제의 심각성은?

위협이 중간 위험 수준이지만, 이 버그가 더 많은 중요한 취약성에 접근하기 위해 악용되었는지는 불확실합니다. 일반 소비자들은 즉각적으로 걱정할 필요는 없으며, Bugzilla는 9월 10일에 이 문제를 패치했습니다.

그러나 이 문제는 Bugzilla 관리자에 의해 심각하게 검토되어야 하며, 이미 수정하지 않았다면 수정이 이루어져야 합니다. Bugzilla를 사용하는 가장 유명한 소프트웨어 프로젝트 중 일부는 Firefox 브라우저를 관리하는 사람들입니다. 또 다른 걱정스러운 점은 사소한 취약점이 악용될 수 있다는 것입니다.

“매우 쉽습니다. 단순한 요청 하나로, 그게 전부입니다. 당신은 들어왔습니다,”라고 Rubin은 계속했습니다. 해커가 접근한 후에는 제품 유지 관리자가 알고 있지만 아직 패치되지 않은 취약성과 관련된 정보를 볼 수 있을 가능성이 있습니다. “이 취약점의 의미는 심각합니다 - 공격자가 수백 개의 제품에서 공개되지 않은 보안 취약점에 접근할 수 있게 할 수 있습니다,”라고 Rubin의 글은 계속됩니다.