Bugzilla je open-sourcový systém vyhledávání závad, který využívají placení i neplacení developeři Mozilly k zaznamenávání bezpečnostních i jiných problémů a hledání jejich řešení. Bugy jsou většinou otevřené veřejnosti, ale některé, zejména dlouhodobé bezpečnostní chyby, jsou přístupné pouze privilegovaným uživatelům.
Informace o kritických chybách jsou blokovány pro všechny kromě těchto vybraných uživatelů ještě dlouhou dobu poté, co bývá zveřejněna oprava daného problému. To proto, aby se Mozilla ujistila, že si aktualizaci nainstaluje větší počet uživatelů Firefoxu.
„Útočník se dokázal dostat do jednoho z privilegovaných účtů a stáhnul si citlivé informace o chybách ve Firefoxu a dalších produktech Mozilly,“ uvedla v pátek Mozilla v dokumentu odpovídajícím na otázky ohledně útoku. „Informace, které jsme během vyšetřování získali, naznačují, že daný uživatel využíval heslo z Bugzilly také na jiné webové stránce. Ta se stala obětí úniku dat a heslo bylo odhaleno.“
„Domníváme se, že tyto informace byly využity k útoku na uživatele Firefoxu,“ napsal jeden z lídrů bezpečnostního týmu Mozilly Richard Barnes ve svém příspěvku na firemním blogu.
Na útok, který využil těchto ukradených informací, Mozilla zareagovala záplatou ze 6. srpna po zprávách, že ruská zpravodajská stránka byla zneužívána k přístupu k citlivým datům Firefoxu a jejich nahrávání na servery na Ukrajině. Útočník tehdy odcizoval data vztahující se k vývojářským nástrojům. Tehdejší útok nyní dává daleko větší smysl: Útočník totiž hledal informace, které by mu pomohly lépe využít chyby Bugzilly a lokalizovat další chyby zabezpečení, o kterých developeři diskutovali.
Mozilla ve svém dokumentu detailně odhalila časovou osu celého útoku a jeho důsledky. Podle něj se přístup k privilegovaným účtům datuje nejméně k září 2014. Některé indicie však naznačují, že útok mohl začít i o rok dříve.
Útočníci nedokázali využít všech 53 kritických bezpečnostních chyb. Podle Mozilly bylo 43 z nich opraveno dříve, než hacker k Bugzille získal přístup. Ze zbývajících deseti však tři chyby zůstaly otevřené. Záplata na ně nebyla k dispozici po 131 až 335 dní.
Chyba, které zloděj využil, byla podle prohlášení Mozilly neopravená 36 dní. Developer opensourcové aplikace již učinil opatření k zabezpečení Bugzilly. Mezi tato opatření patří například žádosti vlastníků účtů s přístupem k citlivým informací o změnu hesla nebo zavedení dvoufaktorové autorizace.
„Mozilla také snižuje počet uživatelů s privilegovanými účty a možnosti, které tito uživatelé budou v aplikaci mít,“ uvedl Barnes.
Tento incident není ani zdaleka prvním problémem Bugzilly. Minulý rok byly veřejnosti na tři měsíce odhaleny desítky tisíc emailových adres a hesel uživatelů aplikace. V roce 2014 rovněž vyšla záplata, která měla neautorizovaným zabránit v hrozícím přístupu k privilegovaným informacím.
Mozilla uživatele Firefoxu nabádá, aby svůj prohlížeč aktualizovali na verzi Firefox 40, která byla vypuštěna 27. srpna. Tato záplata opravila všechny zbývající chyby zabezpečení, kterých útočníci využili.
PŘEDPLATNÉ
ČLÁNKY DO MAILU