Eine Schwachstelle im Mozilla-VPN-Client für Linux erlaubt es Angreifern, ohne Root-Rechte die VPN-Konfiguration anderer Nutzer zu ändern.
Der Mozilla-VPN-Client für Linux weist offenbar eine Schwachstelle auf, die es jedem beliebigen Benutzer erlaubt, auf einem System, auf dem der Client installiert ist, aufgrund einer fehlerhaften Authentifizierungsprüfung beliebige VPN-Konfigurationen anzuwenden. Entdecker der Sicherheitslücke ist Matthias Gerstner, ein Sicherheitsingenieur von Suse, der das Problem einem Bericht von The Register zufolge bereits am 4. Mai an Mozilla gemeldet hat.
Dadurch sei es böswilligen Akteuren möglich, bestehende VPN-Setups zu manipulieren oder neue Setups einzurichten und damit den Netzwerkverkehr des Zielsystems beispielsweise über einen bestimmten Server umzuleiten, wo er sich dann abfangen und analysieren lässt.
Jeder Benutzer darf VPN-Konfiguration ändern
Wie Gerstner in einem Beitrag auf Openwall erklärt, konnte er die Sicherheitslücke anhand von Version 2.14.1 des Mozilla-VPN-Clients nachvollziehen. Ursache sei etwa eine unzureichend umgesetzte Polkit-Autorisierungslogik (ehemals Policykit) für den privilegierten Prozess "mozillavpn linuxdaemon". Demnach bitte der darin ausgeführte Code den Polkit-Berechtigungsdienst darum, festzustellen, ob anstelle des Nutzers der D-Bus-Dienst berechtigt ist, den Zustand der VPN-Verbindung zu ändern. "Da der D-Bus-Dienst von Mozilla VPN als root läuft, wird dies immer der Fall sein", so Gerstner. Und zwar unabhängig davon, welcher Benutzer die Änderung initiiert hat und über welche Privilegien er verfügt.
Dadurch könne ein Angreifer den Netzwerkverkehr gezielt umleiten und den Anwender zugleich glauben lassen, es bestehe eine sichere VPN-Verbindung. Darüber hinaus sei es anhand der Schwachstelle möglich, "einen Denial-of-Service gegen eine bestehende VPN-Verbindung oder andere Integritätsverletzungen" durchzuführen.
90 Tage später noch kein Patch in Sicht
Dass die Sicherheitslücke nun an die Öffentlichkeit gelangt ist, ohne dass es einen Patch dafür gibt, soll einer fragwürdigen Kommunikation seitens Mozilla geschuldet sein. Da das SUSE-Team keine zuverlässige Aussage für eine "koordinierte Offenlegung" erhielt, habe es sich schließlich dafür entschieden, die Details zu der Schwachstelle am 3. August zu veröffentlichen – also 90 Tage nachdem Mozilla erstmals über das Problem informiert wurde.
Auf Nachfrage von The Register soll ein Mozilla-Sprecher erklärt haben, dass der genaue Zeitpunkt zwar ungewiss sei, die Organisation aber voraussichtlich am kommenden Montag weitere Informationen zu der als CVE-2023-4104 registrierten Sicherheitslücke bekannt geben werde.
Kein Patch vorhanden: Mozilla VPN erlaubt Abfangen des Datenverkehrs unter Linux - Golem.de - Golem.de
Read More
No comments:
Post a Comment