Исследователь кибербезопасности из SUSE предупредил, что VPN-клиент Mozilla для Linux имеет серьезную уязвимость, которая может позволить злоумышленникам выполнять широкий спектр нарушений целостности.
Матиас Герстнер опубликовал статью в списке рассылки Openwall по безопасности, в которой описывается неработающая проверка аутентификации в клиенте Mozilla VPN версии 2.14.1, выпущенной 30 мая.
Злоумышленники, обнаружившие уязвимость, могут использовать ее для создания собственной произвольной VPN, перенаправления сетевого трафика в (потенциально) вредоносные места и взломать существующие настройки VPN.
Другие нарушения целостности
Описывая ошибку, Герстнер говорит, что инженеры SUSE проанализировали VPN-клиент Mozilla и обнаружили, что он «содержит привилегированную службу D-Bus, работающую от имени пользователя root, и политику Polkit». Polkit — это API авторизации для привилегированных программ, и, поскольку программа написана сейчас, Polkit проверяет, авторизован ли привилегированный сервис Mozilla VPN D-Bus для выполнения определенных действий от имени пользователя.
«Следствием этого является то, что произвольные локальные пользователи могут настраивать произвольные настройки VPN с помощью Mozilla VPN и, таким образом, возможно, перенаправлять сетевой трафик злоумышленникам, делать вид, что безопасная VPN присутствует, хотя на самом деле это не так, выполнять атаку типа «отказ в обслуживании» против существующей VPN-подключение или другие нарушения целостности», — сказал Герстнер в своей статье.
SUSE сообщила Mozilla о своих выводах 4 мая, но не получила ответа от компании. Восемь дней спустя, 12 июня, компания обнаружила уязвимость, раскрытую в запросе на включение GitHub в репозиторий Mozilla VPN.
«Мы снова спросили вверх по течению, каковы их намерения с точки зрения скоординированного раскрытия информации, но не получили надлежащего ответа», — пояснил Герстнер.
Через три месяца, как обычно, SUSE обнародовала ошибку. Теперь он отслеживается как CVE-2023-4104.
Mozilla пока хранит молчание, и представитель сообщил The Register, что дополнительная информация должна быть доступна позже сегодня.
С помощью: Реестр
