Chi tiết về lỗ hổng leo thang đặc quyền mới được vá trong Bugzilla

Nhà phát triển và các tổ chức sử dụng hệ thống quản lý bug mã nguồn mở Bugzilla được khuyến cáo nâng cấp lên phiên bản mới nhất sau khi lỗ hổng leo thang đặc quyền nghiêm trọng phát hiện vào tuần trước. Lỗ hổng đã được vá trong phiên bản 4.2.15, 4.4.10 và 5.0.1 được báo cáo đến Mozilla bởi các nhà nghiên cứu bảo mật PerimeterX.

Tin tặc có thể lợi dụng hệ thống Bugzilla để leo thang đặc quyền, đưa bất kì lỗ hổng nào trong đó ra cài đặt khai thác. Nhà nghiên cứu Netanel Rubin cho biết: “Sau khi khai thác thành công lỗ hổng CVE-2015-4499, chúng  tôi đoạt được quyền truy cập xem dữ liệu bí mật”. CVE-2015-4499 đã được kiểm thử trên tên miền Bugzilla.mozilla.org, tất cả phiên bản Perl-based Bugzilla tại thời điểm báo cáo đều bị tổn thương (2.0 to 4.2.14, 4.3.1 to 4.4.9, 4.5.1 to 5.0).

Còn đây là câu chuyện bảo mật thứ hai xảy ra với Bugzilla. Vào ngày 9 tháng 4, Mozilla báo cáo rằng một tài khoản ủy quyền nội bộ Bugzilla đã bị xâm nhập thông qua mật khẩu lấy từ dữ liệu rò rỉ từ trang web khác. Mozilla xác nhận rằng tin tặc đã truy cập tài khoản này gần hai năm và có thể đã đánh cắp thông tin về những lỗ hổng mới nhất của Firefox trước khi đưa ra bản vá.

PerimeterX đăng tải một khuyến cáo tạm dừng các phiên bản Bugzilla tổn thương đến khi được vá và kết hợp xem xét log máy chủ để theo dõi tài khoản mới được tạo ra sử dụng lỗ hổng. Quản trị viên có thể cấu hình nhiều mức truy cập và nhóm cài đặt dành riêng cho người dùng, giới hạn thông tin họ có thể xem trong Bugzilla và cấp quyền dựa vào địa chỉ email người dùng.

Tin tặc khai thác lỗ hổng có thể tạo ra một tài khoản sử dụng địa chỉ email tin cậy bởi Bugzilla. Nguyên nhân bắt nguồn từ điểm yếu trong quá trình đăng kí tài khoản, khi một chuỗi kí từ dài được nhập vào dẫn tới hệ thống xử lý sai. Tin tặc lợi dụng điểm yếu này biến địa chỉ email của chúng thành địa chỉ email đáng tin cậy. Hệ thống sẽ gửi đường dẫn xác thực và token truy cập đến Bugzilla.

Tin tặc tiềm năng có thể đã truy cập được vào những lỗ hổng bảo mật chưa được công bố trong hàng trăm sản phẩm. Người dùng Bugzilla cần cập nhật sớm nhất có thể.

threatpost

Bình luận

Từ khóa: