.
Um engenheiro de segurança da fabricante de distribuições Linux SUSE publicou um aviso sobre uma falha no cliente Mozilla VPN para Linux que ainda não foi corrigida em uma correção lançada publicamente porque o processo de divulgação saiu dos trilhos.
Em uma postagem para a lista de discussão de segurança Openwall, Matthias Gerstner descreve uma verificação de autenticação quebrada no cliente Mozilla VPN v2.14.1lançado em 30 de maio.
Essencialmente, o cliente pode ser explorado por qualquer usuário em um sistema para, entre outras coisas, configurar sua própria configuração arbitrária de VPN, redirecionar o tráfego de rede para terceiros e interromper configurações de VPN existentes. Isso não é bom em computadores compartilhados com vários usuários.
O problema foi identificado, diz Gerstner, quando um gerente da comunidade openSUSE quis adicionar o cliente Mozilla VPN ao openSUSE Tumbleweed, uma distribuição Linux. O software foi revisado pela equipe de segurança do SUSE, um procedimento padrão, e eles descobriram que o software VPN “contém um serviço D-Bus privilegiado executado como root e uma política Polkit”.
polkit, anteriormente PolicyKit, é uma API de autorização para programas privilegiados. A equipe de segurança do SUSE notou que os privilegiados mozillavpn linuxdaemon processo tinha lógica de autorização incorreta.
Citando as declarações de políticas Polkit baseadas em XML listadas, Gerstner observou que, da maneira como a verificação de autenticação é escrita, o código solicita que Polkit determine se o serviço Mozilla VPN D-Bus privilegiado – em vez do usuário – está autorizado a executar a ação.
Como o serviço D-Bus é executado com privilégios de root, a verificação de autorização sempre retorna true. Isso significa que a chamada do D-Bus funcionará para qualquer conta de usuário, independentemente dos privilégios.
“O impacto é que usuários locais arbitrários podem definir configurações de VPN arbitrárias usando Mozilla VPN e, assim, possivelmente redirecionar o tráfego de rede para partes mal-intencionadas, fingir que uma VPN segura está presente quando na verdade não está, executar uma negação de serviço contra um existente conexão VPN ou outras violações de integridade”, disse Gerstner.
Gerstner também chama a atenção para a ausência de qualquer verificação de autorização Polkit para vários outros métodos D-Bus como getLogs(), cleanupLogs(), runningApps(), firewallApp(), firewallClear()e deactivate(). Todos eles executam funções que devem ser autorizadas. Por exemplo, é fundamentalmente inseguro permitir que qualquer conta local em um sistema desative a VPN de outro usuário.
A divulgação responsável precisa funcionar nos dois sentidos
O próprio Polkit teve um recente significativo problema de segurança, mas a vulnerabilidade do Mozilla VPN é resultado de implementação inadequada. O que chama a atenção é a forma como a divulgação foi feita.
De acordo com Gerstner, o problema foi divulgado em particular à Mozilla em 4 de maio, e a SUSE não ouviu mais nada até 12 de junho, quando sua equipe de segurança descobriu que a falha havia sido divulgada em uma solicitação de extração do GitHub para o repositório Mozilla VPN.
“Perguntamos mais uma vez quais são suas intenções em relação à divulgação coordenada, mas não obtivemos uma resposta adequada”, disse Gerstner.
No entanto, a equipe SUSE esperou até quinta-feira, 3 de agosto, após 90 dias, para postar publicamente sobre a falha, que a Mozilla já atribuiu CVE-2023-4104.
Gerstner diz que o Mozilla VPN planeja parar completamente de usar a autenticação Polkit na próxima versão v2.16.0, o que não muda o fato de que todas as APIs do D-Bus permanecem não autenticadas e utilizáveis por qualquer usuário local.
Autorização aprimorada é esperada na v2.17.0 – que ainda não tem data de lançamento – exigindo que o chamador do D-Bus tenha a permissão CAP_NET_ADMIN, ou o UID associado ao usuário que ativou a conexão. Isso é esperado em um ou dois meses.
Quanto aos outros possíveis vazamentos de informações descritos no post, Gerstner diz que não há nenhuma palavra sobre como ou quando eles serão resolvidos.
Solicitado a comentar, um porta-voz da Mozilla disse Strong The One que “enquanto o momento é incerto”, a organização prevê compartilhar mais informações na segunda-feira. ®
.
