Bugzilla: vol de données confidentielles sur des vulnérabilités

Les chercheurs en sécurité n’ont de cesse de rappeler aux utilisateurs de ne pas utiliser le même mot de passe pour différents compte utilisateur, mais ce conseil est bien souvent ignorer. Les représentants de Mozilla se sont aperçus que même les utilisateurs plus avancés ne respectent pas toujours ce conseil. Un individu malveillant a réussi à compromettre le compte d’un utilisateur de Bugzilla en utilisant un mot de passe obtenu suite au piratage d’un autre site.

De toute évidence, l’individu malintentionné savait à qui il devait s’en prendre car l’utilisateur en question était un utilisateur privilégié, doté d’un accès restreint à d’importantes informations relatives aux bugs de sécurité dans les produits de Mozilla. Bugzilla est le système de gestion des bugs utilisé par Mozilla pour ses différents projets. Bien que la majeure partie des informations reprises dans ce système soit publique, certaines sont considérées comme confidentielles. Notamment, les informations relatives aux vulnérabilités du système de sécurité qui sont en phase d’élimination ou d’évaluation (ces informations sont confidentielles jusqu’à la diffusion du correctif ou jusqu’au moment où la société décide de ne pas éliminer cette vulnérabilité).

Les représentants de Mozilla ont affirmé que cet individu malintentionné pourrait avoir eu accès au compte de la victime depuis septembre 2013. Le cas d’accès confirmé le plus ancien remonte à septembre 2014. Après avoir obtenu les informations d’identification de la victime, le pirate a pu voler des informations relatives à une vulnérabilité de Firefox que Mozilla avait réparé le mois passé, déjà après la découverte d’un code d’exploitation pour celle-ci.

« Le compte utilisateur, compromis par l’individu malintentionné, a été bloqué peu de temps après que Mozilla s’est rendu compte de la situation. Nous pensons que le pirate a utilisé des informations de Bugzilla pour exploiter une vulnérabilité que nous avions éliminée le 6 août. Rien n’indique que d’autres informations obtenues par l’individu malintentionné ont été exploitées contre des utilisateurs de Firefox. La version de Firefox publiée le 27 août a éliminé toutes les vulnérabilités dont le pirate aurait pu avoir connaissance et qu’il aurait pu exploiter pour nuire aux utilisateurs de Firefox » a publié Richard Barnes, de chez Mozilla, dans un blog.

Le bug, dont les informations auraient été volées par l’individu malintentionné d’après les représentants de Mozilla, a été éliminé le 6 août. Il concernait la manière dont le navigateur exploitait dans certains cas la stratégie de la même origine. Mozilla avait découvert ce bug après qu’un utilisateur avait été victime d’une attaque suite à la visite d’un site d’informations russe sur lequel se trouvaient des bannières qui contenaient un code d’exploitation pour cette vulnérabilité.

Les représentants de Mozilla ont déclaré que l’individu malintentionné qui s’est introduit dans Bugzilla, aurait put consulter les données relatives à 185 bugs, dont 53 considérés comme des vulnérabilités sérieuses pour la sécurité. La bonne nouvelle est que 43 bugs sur ces 53 avaient déjà été éliminés au moment où le pirate a obtenu les informations. Cela en laisse malgré tout 10 qui pourraient être exploités.

Extrait des FAQ de Mozilla consacrées à l’attaque:

« Pour les 10 bugs restant, l’individu malintentionné aurait pu profiter d’une certaine période d’exploitation potentielle entre son accès aux données et l’élimination des bugs dans Firefox:

moins de 7 jours pour 2 bugs;

de 7 à 36 jours pour 6 bugs;

plus de 36 jours pour 3 bugs (131, 157 et 335 jours respectivement).

La société a indiqué que s’il est vrai que l’individu malintentionné aurait pu exploiter ces vulnérabilités pour attaquer les utilisateurs, la seule attaque connue a été organisée via l’exploitation d’un bug éliminé le mois dernier.

« D’un point de vue technique, il est possible qu’un de ces bugs a été utilisé contre des utilisateurs de Firefox avant son élimination. Un des bugs, exploitable moins de 36 jours, a été utilisé dans le cadre d’une attaque, mais il a été corrigé le 6 août 2015. A part cette attaque, nous ne disposons pas de données qui laisseraient penser que les bugs volés ont été exploités » peut-on lire dans les FAQ.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *