Mozilla признала взлом баг-трекера, повлекший атаку на пользователей Firefox

07.09.2015 | 00:57 Экономика

Хакер получил доступ к Bugzilla год или два назад, использовав уязвимость, прежде чем она была исправлена.

Mozilla заявила, что неизвестный злоумышленник получил доступ к базе данных отслеживания багов и изменений Bugzilla, украл информацию о 53 критических уязвимостях безопасности, и использовал, по крайней мере, одну из этих уязвимостей для атаки на пользователей Firefox.

Bugzilla является трекером с открытым исходным кодом, над которым работают волонтеры и оплачиваемые разработчики Mozilla. Он используется для хранения информации о проблемах, связанных с безопасностью; обсуждения различных вариантов, перед внесением изменений; и передачи потенциальных исправлений. Как правило, баги являются открытыми для общественности, но некоторые, особенно неисправленные проблемы безопасности, доступны только для владельцев привилегированных учетных записей.

Записи о критических ошибках блокируются для всех, кроме привилегированных аккаунтов, некоторое время после выпуска исправлений, чтобы основная часть пользователей Firefox успела установить патч.

«Злоумышленник смог взломать привилегированный аккаунт и загрузить конфиденциальные сведения об уязвимостях Firefox и других продуктах Mozilla», заявила Mozilla в пятницу. «Информация, обнаруженная при нашем расследовании, предполагает, что пользователь повторно использовал свой пароль Bugzilla на другом сайте, и пароль был раскрыт после взлома данных на этом сайте».

«Мы считаем, что они использовали эту информацию, чтобы атаковать пользователей Firefox», добавил Ричард Барнс из команды безопасности Mozilla.

Нападение, осуществленное благодаря украденной информации, обнаружено 6 августа. Mozilla пропатчила уязвимость после сообщений о том, что русский новостной сайт разместил эксплойт Firefox, который искал конфиденциальные файлы и загружал их на сервер в Украине.

Злоумышленник был сосредоточен на краже файлов, относящихся к ряду инструментов разработчика. Предположительно, злоумышленник искал информацию, чтобы более эффективно использовать баг, не отмеченный в Bugzilla, или найти дополнительные уязвимости, которые обсуждали разработчики.

Согласно информации Mozilla, доступ к привилегированной учетной записи получен, по крайней мере, в сентябре 2014 года, с некоторыми указаниями на то, что это случилось за год до этой даты.

Не все 53 критические уязвимости безопасности, о которых узнал злоумышленник, были использованы. Mozilla заявила, что 43 были исправлены к тому моменту, когда хакер получил доступ к Bugzilla. Три из оставшихся десяти, однако, были открыты в течение от 131 до 335 дней.

Одна из уязвимостей, которая была использована вором, была открыта в течение 36 дней, говорит Mozilla.

Разработчик принял меры, чтобы обеспечить безопасность Bugzilla, в том числе потребовал у имеющих доступ к чувствительной информации, сбросить свои пароли и использовать двухфакторную аутентификацию. Барнс также сказал, что Mozilla будет «уменьшать количество пользователей с привилегированным доступом и ограничивать то, что привилегированный пользователь может делать».

Это не первый инцидент с Bugzilla. В прошлом году десятки тысяч адресов электронной почты пользователей Bugzilla и зашифрованных паролей были выставлены на общедоступном сервере в течении трех месяцев. Кроме того, в 2014 году Bugzilla была пропатчена с целью исправления уязвимости повышения привилегий, которая может позволить неавторизованным пользователям получить доступ с правами администратора.

Mozilla Firefox призвала пользователей обновить браузер Firefox до версии 40, которая была выпущена 27 августа, поскольку в этой версии пропатчены все оставшиеся уязвимости, к которым злоумышленник получил доступ.