Любой может получить доступ к непатченым ошибкам Firefox, так как Bugzilla от Mozilla оказалась критически уязвимой

Table Of Contents

• Нарушение трекера ошибок Mozilla, нулевые уязвимости Firefox доступны любому - The Hack
• Кто пострадал?
• Насколько это серьезно?

Нарушение трекера ошибок Mozilla, нулевые уязвимости Firefox доступны любому

Хакеры ранее в этом месяце смогли взломать базу данных ошибок Mozilla, что позволило злоумышленникам получить доступ к 185 непубличным ошибкам для популярного интернет-браузера Firefox, из которых 53 были классифицированы как “серьезные уязвимости”. Посетители российского сайта подозреваются в том, что они пострадали как минимум от одной из этих уязвимостей.

Что ж, похоже, что непубличные ошибки Mozilla могут быть не единственными, которые находятся под угрозой. Одна из компаний по безопасности выяснила, как получить высокие права доступа в Bugzilla, базе данных уязвимостей, используемой Mozilla, а также рядом частных компаний и проектов с открытым исходным кодом. В этой базе данных содержится всякая чувствительная информация, включая информацию о уязвимостях, о которых организации были уведомлены, но которые еще не были исправлены. Вероятно, злоумышленник может просмотреть информацию из этой базы данных о непатченых проблемах, которые затем могут быть использованы против людей, использующих продукты Mozilla или любое другое программное обеспечение, которое подвержено риску.

The Hack

Когда учетная запись в Bugzilla создается сотрудником организации или участником, который, вероятно, является частью команды безопасности, на указанный адрес электронной почты отправляется письмо для подтверждения, чтобы проверить, действительно ли они владеют этим адресом. Однако ошибка, обнаруженная PerimeterX и описанная старшим исследователем уязвимостей Натанелем Рубином, позволяет любому создать учетную запись, выдавая себя за конкретную организацию, даже если они не работают в ней.

Для регистрации в Bugzilla требуется адрес электронной почты ровно на 255 байт, который также включает домен целевой организации. База данных Bugzilla обрезает данные вместо того, чтобы отклонять длинную строку, чтобы она поместилась в соответствующий столбец. Затем хакер прикрепляет домен, которым он владеет, в конце этой строки.

В результате письмо для подтверждения приходит в Bugzilla и отправляется на учетную запись, контролируемую хакером, но с доступом, предоставленным целевой организации.

Рубин пишет: “Это фактически выполняет атаку повышения привилегий, позволяя нам получить привилегии, которые мы иначе не могли бы получить.”

Кто пострадал?

“В основном, любой, кто использует Bugzilla,” - сказал Рубин в телефонном интервью WIRED, кто использует разрешения на основе электронной почты, подвержен риску. Это может включать ряд дистрибутивов Linux, включая Red Hat, а также популярные проекты свободного программного обеспечения, такие как LibreOffice и Apache Project. На сайте Bugzilla перечислено 136 других проектов, хотя это включает только публичные. На сайте Bugzilla указано: “Вероятно, существует как минимум в 10 раз больше частных проектов.”

Mozilla также пострадала, так как их большой объем непубличных уязвимостей уже был доступен. Эта ошибка на самом деле была протестирована на Bugzilla Mozilla. Более того, это также может косвенно повлиять на обычных пользователей. Любые уязвимости, известные хакерам через доступ к системе Bugzilla компании, готовы к использованию.

Рубин сказал WIRED, что хотя нельзя сказать, использовалась ли ошибка злонамеренно для получения доступа к более серьезным уязвимостям, она, вероятно, существует уже около пяти-семи лет.

Насколько это серьезно?

Хотя угроза имеет средний риск, неясно, использовалась ли ошибка злонамеренно для получения доступа к более серьезным уязвимостям. Обычным пользователям не стоит беспокоиться немедленно, так как Bugzilla исправила проблему 10 сентября.

Тем не менее, этот вопрос должен быть серьезно рассмотрен администраторами Bugzilla, и они должны убедиться, что исправление выполнено, если они еще этого не сделали. Некоторые из самых известных программных проектов используют Bugzilla, включая тех, кто заботится о браузере Firefox. Еще одной тревожной вещью является то, как незначительная уязвимость может быть использована.

“Это очень просто. Это всего лишь один простой запрос, и все, вы внутри,” - продолжил Рубин. Хакер, получив доступ, может просмотреть информацию, связанную с любыми уязвимостями, известными поддерживающим продукт, но еще не исправленными. “Последствия этой уязвимости серьезны - она может позволить злоумышленнику получить доступ к нераскрытым уязвимостям безопасности в сотнях продуктов,” - продолжает Рубин в своем отчете.