Investigadores de Check Point descubren una vulnerabilidad crítica en la plataforma Bugzilla
Investigadores de Check Point Software Technologies han descubierto problemas de seguridad en la herramienta para el seguimiento de errores Bugzilla -utilizada por Mozilla y por muchas distribuciones de Linux- que permite que cualquier persona pueda ver informes detallados acerca de vulnerabilidades sin subsanar en una amplia gama de software.
De haber sido explotado, este fallo por tanto supondría la exposición de un incalculable abanico de vulnerabilidades y una verdadera mina de oro para los cibercriminales.
Un desarrollador que quiere informar de un error en Mozilla Firefox, por ejemplo, puede registrarse para obtener una cuenta en la plataforma Bugzilla, que le responde automáticamente mediante el envío de un mail de validación a la dirección indicada en la solicitud de registro. El hallazgo, publicado por el grupo de Investigación de Check Point, revela que es posible crear cuentas de usuario Bugzilla omitiendo dicho proceso de validación. Esto permitiría, por tanto, que un cibercriminal pueda obtener información sensible sobre vulnerabilidades y errores sin subsanar en paquetes de software que dependan de Bugzilla.
“El exploit permite pasar por alto la validación y registrar el correo electrónico que se desee, incluso si no tenemos acceso a él, porque no hay ninguna validación que controle actualmente ese dominio” ha destacado Shahar Tal, jefe del Grupo de Investigación de Vulnerabilidades de Check Point.. “Por el modo en que funcionan los permisos de Bugzilla, es posible obtener privilegios de administrador con sólo registrarse con la dirección de uno de los dominios del titular de la instalación Bugzilla. Por ejemplo, nos registramos como admin@mozilla.org y pudimos ver todos los errores privados de Firefox y Mozilla”.
El fallo de seguridad de Bugzilla es el último de una serie de vulnerabilidades críticas que han salido a la luz en el último año, incluyendo Heartbleed y Shellshock, y que tiene la particularidad de haberse mantenido ocultas durante largo tiempo y de poder permitir el acceso a grandes volúmenes de datos sensibles. “El hecho es que el error de Bugzilla ha estado presenta durante 10 años sin que nadie lo supiese”, ha concluido Tal.
La fundación Mozilla ha liberado parches de software para las versiones 4.0.15, 4.2.11, 4.4.6 y 4.5.6 con el fin de solventar dicha vulnerabilidad y ha alertado a las principales organizaciones que han uso de este software acerca de los riesgos y del parche recomendado.