zurück zur Übersicht

Bugtracker mitgetrackt – Hacker spähen Mozilla-Sicherheitslücken aus

firefoxAngreifern ist es gelungen, sich Zugriff auf den nicht öffentlichen Teil vom Bugtracker des Mozilla-Projekts zu verschaffen. Bugtracker werden verwendet um Programmfehler zu dokumentieren und zu kategorisieren und sind für große Projekte unerlässlich. Mozilla nutzt dafür die Eigenentwicklung „Bugzilla“. Die Angreifer sind in Bugzilla nicht durch eine Sicherheitslücke eingebrochen, sondern nutzten die Zugangsdaten eines privilegierten Anwenders. Nach Informationen von Mozilla erhielten sie das Passwort von einer anderen gehackten Internetseite. Der Anwender nutzte dort das gleiche Passwort.

Der Angreifer hatte so seit mindestens September 2014 unautorisierten Zugriff auf Bugzilla. Es gibt aber Anzeichen, dass der Zugriff schon seit September 2013 erfolgte. In dem nicht öffentlichen Teil von Bugzilla liegen hochbrisante sicherheitsrelevante Informationen über Schwachstellen der Produkte von Mozilla, was in erster Linie auch den beliebten Browser Firefox und den E-Mail-Client Thunderbird betrifft. Der Angreifer hatte Zugriff auf 53 Fehler gehabt, die als „hoch“ oder „kritisch“ kategorisiert waren. Allerdings waren zum Zeitpunkt des Zugriffs schon 43 davon behoben. Um die restlichen 10 Fehler auszunutzen hatte der Angreifer möglicherweise bis zu 335 Tage Zeit. Bisher wurde aber nur eine dieser Schwachstellen ausgenutzt – ein Exploit der den internen PDF-Reader betraf (CVE-2015-2743). Diese Schwachstelle ist allerdings seit dem 06. August 2015 auch geschlossen. Von den 53 ausgespähten möglichen Sicherheitslücken besteht also faktisch keine mehr.

Als erste Gegenmaßnahme wurden alle Anwender des Mozilla Entwicklerteams aufgefordert ihr Passwort zu ändern. Darüber hinaus wird, für eine bessere Absicherung für diesen Teil von Bugzilla, eine Zwei-Faktor-Authentifizierung eingeführt. Klassische IT-Security Produkte sind oft nicht in der Lage vor unbekannten Angriffen, wie „Zero-Day“-, Browser-, Plugin- oder Web Exploits wirkungsvoll zu schützen.  Doch es gibt inzwischen Methoden, um ein Unternehmen und seine Netzwerke sowie Tools – wie in diesem Fall einen Bugtracker – selbst vor bisher unbekannten oder schwer erkennbaren Angriffspraktiken zu schützen. Auch das Sicherheitsrisiko durch potenziell unsichere Browser kann durch entsprechende Netzwerküberwachung minimiert werden. Bei diesen Aufgabenstellungen kann die iT-CUBE SYSTEMS AG behilflich sein. Wir unterstützen Sie, für einen bestmöglichen Schutz gegen solche Bedrohungen.


Links:

http://www.infosecurity-magazine.com/news/bugzilla-hackers-accessed-mozilla/
http://www.computerbase.de/2015-09/mozilla-bugzilla-fehlerdatenbank-gehackt/
http://www.pro-linux.de/news/1/22718/hackerzugriff-auf-mozilla-bugtracker.html

Schreibe einen Kommentar