Sottratti da Bugzilla dati riservati inerenti a vulnerabilità di sicurezza

Gli esperti di sicurezza IT raccomandano costantemente agli utenti di non utilizzare le stesse identiche password per account diversi; l’importante messaggio, tuttavia, cade spesso nel vuoto. Esponenti di Mozilla hanno da poco scoperto che persino gli utenti avanzati non sempre seguono tale consiglio: un attacker è stato in effetti in grado di violare l’account di un utente del sistema Bugzilla, avvalendosi di una password ottenuta compromettendo un altro sito web.

Probabilmente, il malintenzionato sapeva esattamente chi attaccare, visto che l’obiettivo dell’assalto è risultato essere un utente privilegiato, il quale disponeva di un accesso limitato alle importanti informazioni sui bug di sicurezza rilevati nei prodotti Mozilla. Bugzilla è un sistema di bugtracking utilizzato per tenere traccia degli eventuali errori di programmazione, del quale la comunità Mozilla si avvale per i vari progetti sviluppati. Sebbene la maggior parte delle informazioni che esso contiene sia pubblicamente accessibile, vi sono dati ed elementi per i quali viene mantenuta la riservatezza. Si tratta, innanzitutto, delle informazioni relative alle vulnerabilità del sistema di sicurezza che si trovano in fase di correzione o in via di valutazione (tali informazioni restano riservate fino alla release dell’apposita patch, oppure fino al momento in cui viene deciso, da parte di Mozilla, di non correggere una determinata vulnerabilità).

Gli esponenti di Mozilla hanno dichiarato che il suddetto malfattore ha probabilmente avuto la possibilità di accedere all’account della vittima già a partire dal mese di settembre 2013. Il primo caso effettivamente confermato di accesso illecito all’account in questione risale tuttavia al mese di settembre 2014. Disponendo delle credenziali di accesso dell’utente-vittima, l’hacker ha potuto carpire, ad esempio, le informazioni relative alla vulnerabilità di Firefox corretta da Mozilla nel mese scorso, dopo che era stato già individuato l’exploit destinato a tale falla di sicurezza.

“L’account violato dal malintenzionato è stato bloccato subito dopo la scoperta, da parte di Mozilla, del fatto che l’account in causa era stato compromesso. Riteniamo che l’hacker abbia fatto uso delle informazioni carpite da Bugzilla per sfruttare la vulnerabilità da noi chiusa il 6 agosto. Non vi sono segnali riguardo al fatto che qualsiasi altra informazione eventualmente ottenuta dal malfattore sia stata utilizzata contro gli utenti di Firefox. La release di Firefox del 27 agosto ha corretto tutte le vulnerabilità di cui l’hacker era venuto a conoscenza e che egli avrebbe potuto utilizzare a danno degli utenti di Firefox” – ha affermato Richard Barnes di Mozilla, attraverso un apposito blog post.

Il bug riguardo al quale, come ritengono gli esponenti di Mozilla, sono state sottratte informazioni da parte del malfattore, è stato corretto il 6 agosto. Esso era correlato al modo in cui il browser, in alcuni casi, gestiva la stessa policy di origine. Mozilla ha individuato il bug dopo che il computer di un utente è stato compromesso attraverso tale vulnerabilità, a seguito della visita di un sito di news russo contenente banner pubblicitari con il codice dell’exploit.

I rappresentanti di Mozilla hanno dichiarato che l’attacker in grado di ottenere l’accesso al sistema Bugzilla avrebbe potuto in definitiva accedere a 185 diversi bug, incluso 53 serie vulnerabilità di sicurezza. La buona notizia, nell’occasione, è che ben 43 delle suddette 53 falle, nel momento in cui sono cadute nelle mani dell’hacker, erano state già corrette. Le rimanenti 10, tuttavia, potevano essere ancora sfruttate.

Riportiamo, qui di seguito, un estratto dalle FAQ di Mozilla, relativamente all’attacco sopra descritto:

“Per quel che riguarda i rimanenti 10 bug, l’attacker ha avuto a propria disposizione una determinata finestra di tempo, dal momento in cui egli ha ottenuto l’accesso agli stessi ed il momento in cui tali bug sono stati corretti in Firefox:

per 2 bug meno di 7 giorni;

per 5 bug tra i 7 ed i 36 giorni;

per 3 bug oltre 36 giorni (rispettivamente 131 giorni, 157 giorni, 335 giorni).

La società ha inoltre dichiarato che, mentre l’attaccante avrebbe potuto utilizzare le suddette vulnerabilità per condurre attacchi nei confronti degli utenti, l’unico attacco noto, effettivamente rilevato, è stato quello eseguito attraverso lo sfruttamento del bug corretto nel mese scorso.

“Dal punto di vista tecnico, sarebbe di fatto risultato possibile l’utilizzo di uno qualsiasi di tali bug per attaccare gli utenti di Firefox durante la relativa “finestra” della vulnerabilità. Uno dei bug aperti per meno di 36 giorni è stato in effetti impiegato per realizzare un attacco in cui si è fatto uso di una vulnerabilità “patchata” il 6 agosto 2015. A parte tale attacco, tuttavia, non disponiamo di dati che possano indicare l’avvenuto sfruttamento di ulteriori bug” – si asserisce nelle FAQ.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *