image

Beveiligingslek in Mozilla VPN kan aanvaller systeemrechten geven

maandag 28 februari 2022, 11:52 door Redactie, 5 reacties

Een kwetsbaarheid in de vpn-software van Mozilla maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om systeemrechten te krijgen en zo de machine volledig over te nemen. Mozilla heeft een beveiligingsupdate voor de vpn-software uitgebracht om het probleem te verhelpen. Het is de eerste keer dat een lek in Mozillas vpn-software de impact "high" heeft gekregen.

Het beveiligingslek wordt veroorzaakt doordat Mozilla VPN een OpenSSL-configuratie van een onveilige directory kan laden. Een gebruiker of aanvaller met beperkte rechten en toegang tot het systeem kan dit gebruiken om willekeurige code met systeemrechten op het systeem uit te voeren. Daardoor is het mogelijk om volledige controle over de machine te krijgen. De kwetsbaarheid werd door beveiligingsonderzoeker DoHyun Lee aan Mozilla gerapporteerd.

Mozillas vpn-dienst is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Sinds de lancering heeft Mozilla drie kwetsbaarheden in de cliëntsoftware verholpen. De impact daarvan was echter als "low" en "moderate" bestempeld, wat op een beperkte impact duidt. De nu verholpen kwetsbaarheid, aangeduid als CVE-2022-0517, is het eerste high-lek in de software. Gebruikers wordt aangeraden om te updaten naar Mozilla VPN 2.7.1.

Reacties (5)
28-02-2022, 12:13 door Anoniem
Het staat nog in de kinderschoenen Mozilla VPN. Ik gebruik het niet omdat ik ExpressVpn gebruik. Natuurlijk zijn er mensen die wel Mozilla VPN gebruiken. Die kunnen dus kwetsbaar zijn door het lek wat meneer Lee heeft gemeld. Ik denk dat Mozilla dat lek onderzoekt en verhelpt binnenkort met een patch.
28-02-2022, 14:15 door Anoniem
Schoenmaker blijf bij je leest...
28-02-2022, 23:23 door Anoniem
Mozilla VPN is een implementatie van Wireguard dat als betrouwbaar bekend staat; de relevante code daarvan heeft grondige audits goed doorstaan.

De bewering dat de fout in de implementatie een groot gevaar (geprivilegieerde uitvoering kwaadwillende code) oplevert is voorzien van meerdere "kan" uitspraken wat betekent dat de kwetsbaarheid niet zelfstandig dit gevaar oplevert, maar een aanvalsvector oplevert (kan) voor de misbruik van andere kwetsbaarheden (bijv. escalatie privileges).

De melding verwees dan ook naar een analyse naar het vinden van mogelijkheden voor escalatie van privileges.

Vanzelfsprekend betreft dit kwetsbaarheden op het MS Windows platform. De maatschappelijke kosten van de afhankelijkheid van grote delen van onze maatschappij van dat platform blijven hopelijk beperkt in deze oorlogstijd waar veiligheidsgebreken zullen worden uitgebaat. Ik houd mijn hart vast.
01-03-2022, 11:38 door Anoniem
Door Anoniem: Mozilla VPN is een implementatie van Wireguard dat als betrouwbaar bekend staat; de relevante code daarvan heeft grondige audits goed doorstaan.

De bewering dat de fout in de implementatie een groot gevaar (geprivilegieerde uitvoering kwaadwillende code) oplevert is voorzien van meerdere "kan" uitspraken wat betekent dat de kwetsbaarheid niet zelfstandig dit gevaar oplevert, maar een aanvalsvector oplevert (kan) voor de misbruik van andere kwetsbaarheden (bijv. escalatie privileges).

De melding verwees dan ook naar een analyse naar het vinden van mogelijkheden voor escalatie van privileges.

Vanzelfsprekend betreft dit kwetsbaarheden op het MS Windows platform. De maatschappelijke kosten van de afhankelijkheid van grote delen van onze maatschappij van dat platform blijven hopelijk beperkt in deze oorlogstijd waar veiligheidsgebreken zullen worden uitgebaat. Ik houd mijn hart vast.

Ik oud mijn hart vast, wanneer ik uitspraken als de laatste lees. Gevolg van dit soort ideeën is, dat er wordt gefocust op Windows systemen (goed voor de veiligheid daarvan), maar dat niet wordt gekeken naar de andere omgevingen. Dat kan leiden tot lekken op plaatsen die je niet wil.
01-03-2022, 15:23 door Anoniem
Door Anoniem: Mozilla VPN is een implementatie van Wireguard dat als betrouwbaar bekend staat; de relevante code daarvan heeft grondige audits goed doorstaan.
Maar het probleem is dat het slechts een gedeeltelijke oplossing biedt voor "het probleem VPN".
De auteur is er trots op dat ie geen bloated code heeft, maar het nadeel is natuurlijk wel dat de code niet doet wat je
nodig hebt en er dus extra puisten op geplakt moeten worden, waarbij het nu kennelijk fout gegaan is.
Dat was te voorkomen geweest door een realistisch VPN te gebruiken waar je niet vanalles bij hoeft te plakken!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.