Неправильная настройка системы позволяет пользователям почувствовать себя администратором.
Специалисты по безопасности из компании SUSE обнаружили критическую уязвимость в клиенте Mozilla VPN 2.14.1 для Linux. Проблема позволяет любому пользователю системы настроить собственное VPN-подключение, перенаправить сетевой трафик и нарушить существующие VPN-настройки, что особенно опасно на компьютерах с несколькими пользователями.
Уязвимость была обнаружена в ходе проверки безопасности, когда команда SUSE решила добавить клиент Mozilla VPN в дистрибутив Linux openSUSE Tumbleweed. Эксперты выяснили, что в ходе стандартной процедуры проверки безопасности VPN-сервис включает привилегированную службу D-Bus, работающую от имени root, и политику Polkit (API авторизации для привилегированных программ).
Специалисты отмечают, что из-за способа написания проверки аутентификации процесс выполнения кода ориентирован на запрос Polkit о том, авторизована ли привилегированная служба D-Bus Mozilla VPN, вместо проверки авторизации самого пользователя. Поскольку служба D-Bus работает с правами root, проверка авторизации всегда возвращает true. Это означает, что вызов D-Bus будет работать для любой учетной записи пользователя, независимо от привилегий.
В контексте уязвимости в клиенте Mozilla VPN для Linux служба D-Bus используется для обработки запросов на подключение к VPN и других связанных с VPN операций. Проблема заключается в том, что из-за неправильной настройки службы любой пользователь системы мог выполнить действия, которые обычно требуют привилегий администратора.
Mozilla обнаружила проблему 4 мая, но не раскрыла её публично. SUSE узнала дополнительную информацию об ошибке только 12 июня, когда уязвимость была раскрыта в запросе на включение в репозиторий Mozilla VPN на GitHub.
Уязвимости присвоен идентификатор CVE-2023-4104 . Представитель Mozilla сообщил, что организация планирует поделиться дополнительной информацией в ближайшее время. Пользователи Mozilla VPN на Linux должны быть осведомлены о данной уязвимости и следить за обновлениями, чтобы установить исправление, как только оно станет доступно.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале