Check Point detecta un grave fallo de seguridad en Bugzilla

Al igual que ha pasado con Heartbleed y Shellshock, dos vulnerabilidades críticas que se han mantenido ocultas durante largo tiempo y han podido permitir el acceso a grandes volúmenes de datos sensibles, investigadores de Check Point Software acaban de descubrir un grave fallo de seguridad en Bugzilla, la herramienta para el seguimiento de errores usada en múltiples distribuciones de Linux, que permitiría que cualquier persona pueda ver informes detallados acerca de vulnerabilidades sin subsanar en una amplia gama de software. De haber sido explotado, este fallo, que ha estado presente durante diez años sin que nadie lo supiese, supondría la exposición de múltiples vulnerabilidades y una mina de oro para los cibercriminales.

El grupo de Investigación de Check Point señala que la vulnerabilidad permitiría crear cuentas de usuario en Bugzilla omitiendo el proceso de validación requerido, haciendo que un cibercriminal pueda obtener información sensible sobre vulnerabilidades y errores sin subsanar en paquetes de software que dependan de Bugzilla.
“El exploit permite pasar por alto la validación y registrar el correo electrónico que se desee, incluso si no tenemos acceso a él, porque no hay ninguna validación que controle actualmente ese dominio”, explica Shahar Tal, jefe del grupo de investigación de vulnerabilidades de Check Point. “Por el modo en que funcionan los permisos de Bugzilla, es posible obtener privilegios de administrador con sólo registrarse con la dirección de uno de los dominios del titular de la instalación Bugzilla. Por ejemplo, nos registramos como admin@mozilla.org y pudimos ver todos los errores privados de Firefox y Mozilla”.

Check Point recomienda instalar los parches de software que la fundación Mozilla ha liberado para las versiones 4.0.15, 4.2.11, 4.4.6 y 4.5.6 con el fin de solventar dicha vulnerabilidad.