Home Mozilla VPN para Linux tem vulnerabilidade crítica e permite exploração não autorizada
Notícias

Mozilla VPN para Linux tem vulnerabilidade crítica e permite exploração não autorizada

Daniele Savietto

Um engenheiro de segurança da SUSE, fabricante de distros Linux, detectou uma vulnerabilidade crítica para clientes Mozilla VPN para Linux. A vulnerabilidade está presente na versão 2.14.1 do cliente, lançada em 30 de maio.

Essa vulnerabilidade pode ter implicações significativas, abrangendo desde a configuração não autorizada de setups de VPN personalizados até o redirecionamento de tráfego de rede para terceiros externos.

A vulnerabilidade permite que usuários explorem os clientes VPN e configurem VPNs arbitrárias ou redirecionem tráfego de rede para partes externas. Isso pode ter um impacto de longo alcance ao poder comprometer dados sensíveis e quebrar configurações VPN existentes.

Contudo, apesar da gravidade da falha, ainda não foi disponibilizada publicamente uma solução para os usuários. Isso levanta questionamentos sobre a urgência de abordar o problema e o processo de divulgação.

A descoberta dessa vulnerabilidade  foi descoberta por meio de uma postagem na lista de discussão de segurança do Openwall, feita por Matthias Gerstner. Ele identificou esta falha na verificação de autenticação do cliente VPN da Mozilla.

A falha está presente no processo privilegiado do daemon do Mozilla VPN no Linux, que contém uma lógica de autorização equivocada relacionada ao Polkit. Anteriormente conhecido como PolicyKit, o Polkit é uma API de autorização para programas privilegiados.

Qualquer Conta de Usuário Pode Acessar Privilégios Sem Verificação de Autenticação

De acordo com Gerstner, a verificação de autenticação incorretamente solicita ao Polkit determinar se o serviço D-Bus privilegiado do Mozilla VPN está autorizado a realizar a ação, em vez de verificar o usuário.

Consequentemente, o serviço D-Bus, que opera com privilégios de root, naturalmente passa na verificação de autorização. Isso permite que qualquer conta de usuário, independentemente dos privilégios, o utilize.

O impacto disso é que usuários locais arbitrários podem configurar setups de VPN usando o Mozilla VPN e, assim, possivelmente redirecionar o tráfego de rede para partes maliciosas, fingir que uma VPN segura está presente quando na verdade não está, realizar um ataque de negação de serviço contra uma conexão VPN existente ou outras violações de integridade.Matthias Gerstner

Além disso, Gerstner levantou preocupações sobre a ausência de verificações de autorização do Polkit para vários outros métodos do D-Bus. Isso inclui deactivate(), firewallClear(), runningApps(), cleanupLogs() e getLogs().

Esses métodos não autenticados do D-Bus permitem que os usuários executem funções que normalmente requerem autenticação.

No que diz respeito ao processo de divulgação, Gerstner mencionou que em 4 de maio o problema foi comunicado à Mozilla de forma privada. Contudo, só deram uma resposta em 12 de junho.

Mais tarde, descobriu-se que a falha havia sido relatada em uma solicitação de pull no repositório do Mozilla VPN no GitHub. A Mozilla não respondeu de maneira adequada, mesmo após questionamentos sobre a divulgação coordenada.

Uma vez que se passaram 90 dias, a SUSE optou por divulgar publicamente a falha em 3 de agosto. Posteriormente, a Mozilla atribuiu o identificador CVE-2023-4104 ao problema.

Como a Mozilla planeja lidar com o problema?

A empresa pretende solucionar o problema na próxima versão 2.16.0, reconhecida como um dos melhores serviços de VPN disponíveis. Para isso, eles eliminarão a autenticação do Polkit como parte da correção da falha.

No entanto, a alteração no cliente Mozilla VPN para Linux não aborda as APIs do D-Bus não autenticadas. Isso gera um problema uma vez que os usuários locais podem explorar essa falta de autenticação de maneira indevida.

A Mozilla também está trabalhando para reforçar a autenticação na versão v2.17.0, prevista para os próximos meses. Com essa atualização, os chamadores do D-Bus precisarão da permissão CAP_NET_ADMIN ou do UID associado ao usuário que ativou a conexão.

Entretanto, Gerstner afirmou que, até o momento, não há informações sobre como ou quando as autoridades provavelmente abordarão outros possíveis vazamentos de informações mencionados no comunicado.

The Tech Report - Editorial ProcessNosso processo editorial

A política editorial do Tech Report é centrada em fornecer conteúdo útil e preciso que ofereça verdadeiro valor aos nossos leitores. Trabalhamos apenas com escritores experientes que possuem conhecimento específico nos tópicos que cobrem, incluindo os últimos desenvolvimentos em tecnologia, privacidade online, criptomoedas, software e muito mais. Nossa política editorial garante que cada tópico seja pesquisado e selecionado por nossos editores internos. Mantemos padrões jornalísticos rigorosos e cada artigo é 100% escrito por autores reais.

Daniele Savietto

Daniele Savietto

Daniele Savietto é especialista em tecnopolíticas e sistemas de desinformação, com profundo entendimento da indústria de criptomoedas e mídia digital.

Graduada em Comunicação, possui mestrado em Jornalismo e pós-graduação em Comunicação e Mídia. Atualmente está cursando doutorado e sua pesquisa possui como foco as relações midiáticas.

Além de ter sido um investidor ativo, Daniele traz consigo anos de experiência. Apaixonada pelo papel transformador que a tecnologia pode ter na sociedade, suas habilidades de pesquisa e escrita destacam-no como um especialista na área, fornecendo informações detalhadas e bem fundamentadas sobre as últimas novidades no mundo da criptomoeda, cibersegurança e muito mais!