Vulnerabilidad crítica en cliente Mozilla VPN convierte VPN en herramienta de robo de datos

La configuración incorrecta del sistema hace que los usuarios se sientan como administradores.

Los expertos en seguridad de SUSE han descubierto una vulnerabilidad crítica en el cliente Mozilla VPN 2.14.1 para Linux . El problema permite que cualquier usuario del sistema configure su propia conexión VPN , redirija el tráfico de red y rompa la configuración VPN existente, lo que es especialmente peligroso en computadoras con múltiples usuarios.

La vulnerabilidad se descubrió durante una auditoría de seguridad cuando el equipo de SUSE decidió agregar el cliente VPN de Mozilla a la distribución de Linux openSUSE Tumbleweed. Los expertos descubrieron que, como parte de una verificación de seguridad estándar, el servicio VPN activa el servicio D-Bus privilegiado que se ejecuta como raíz y la política Polkit (API de autorización para programas privilegiados).

Señalan que debido a la forma en que se escribe la verificación de autenticación, el proceso de ejecución del código se centra en preguntarle a Polkit si el servicio privilegiado D-Bus Mozilla VPN está autorizado, en lugar de verificar la autorización del propio usuario. Debido a que el servicio D-Bus se ejecuta como raíz, la verificación de autorización siempre devuelve verdadero. Esto significa que la llamada D-Bus funcionará para cualquier cuenta de usuario, independientemente de los privilegios.

En el contexto de una vulnerabilidad en el cliente VPN de Mozilla para Linux, el servicio D-Bus se utiliza para procesar solicitudes de conexión VPN y otras operaciones relacionadas con VPN. El problema es que debido a una mala configuración del servicio, cualquier usuario del sistema podría realizar acciones que normalmente requerirían privilegios de administrador.

Mozilla descubrió el problema el 4 de mayo, pero no lo reveló públicamente. SUSE solo supo más sobre el error el 12 de junio, cuando se reveló la vulnerabilidad en una solicitud de extracción al repositorio Mozilla VPN GitHub .

A la vulnerabilidad se le ha asignado el identificador CVE-2023-4104 . Un portavoz de Mozilla dijo que la organización planea compartir más información pronto. Los usuarios de VPN de Mozilla en Linux deben conocer esta vulnerabilidad y estar atentos para instalar el parche tan pronto como esté disponible.