Una vulnerabilidad crítica de día cero descubierta para la popular herramienta Bugzilla podría ser usada para exponer información sensible de vulnerabilidades de proyectos de desarrollo de software que utilicen esta herramienta para el rastreo de bugs.

La falla permite a un atacante evadir el proceso de verificación de identidad por correo electrónico cuando se registra una nueva cuenta de Bugzilla, permitiendo al atacante registrar cuentas con cualquier dirección de correo y sin la necesidad de ingresar a la bandeja de entrada para concluir el proceso de validación.

La firma de seguridad Check Point Software Technologies hizo pública la falla (CVE-2014-1572) el lunes y comentó que es la primera vez que se identifica una vulnerabilidad que permite el escalamiento de privilegios en el proyecto Bugzilla desde 2002. La fundación Mozilla confirmó que este bug en particular existe en todas las versiones de Bugzilla, desde la versión 2.23.3 de 2006.

El análisis publicado por los investigadores de Check Point revela que "el bug permite a un usuario desconocido obtener privilegios administrativos" además de que "al usar las credenciales de administrador, el atacante puede ver y editar detalles privados sobre bugs no publicados."

Al explotar esta vulnerabilidad, un atacante podría intervenir y destruir información sobre errores o bugs en programas con la intención de entorpecer el proceso de corrección de dichas fallas y continuar explotando vulnerabilidades no corregidas.

De acuerdo a Netanel Rubin, investigador de Check Point:

"La explotación exitosa de la vulnerabilidad permite la manipulación de cualquier campo de la base de datos durante el procedimiento de creación de usuarios, incluyendo el campo ‘login_name’ (nombre de inicio de sesión). Esto rompe con el proceso de validación por correo electrónico y permite al atacante crear cuentas que concuerden con las políticas, basadas en expresiones regulares del grupo, convirtiendo efectivamente las cuentas en usuarios privilegiados."

Bugzilla es una herramienta de pruebas y rastreo de errores o bugs, basada en la Web de propósito general que fue desarrollada originalmente por la Fundación Mozilla y que ha sido utilizada por varias organizaciones en el desarrollo de proyectos de código abierto como sistema de rastreo de bugs.

Entre las organizaciones que utilizan esta herramienta se encuentran el proyecto Apache, el kernel de Linux, OpenSSH, Eclipse, KDE, la Fundación Wikimedia, Wireshark, Novell y GNOME, así como varias distribuciones de Linux.

Cerca de 150 proyectos grandes utilizan Bugzilla para rastrear vulnerabilidades en sus productos. La cifra exacta de desarrollos que utilizan la herramienta podría ser mucho mayor, ya que también es usada en proyectos privados.

Check Point reportó la vulnerabilidad a la fundación Mozilla el 29 de septiembre de 2014, quienes se apresuraron a lanzar un parche para remediar el problema y advirtieron al público en general sobre la disponibilidad del parche.

Las nuevas versiones de Bugzilla disponibles para su descarga son 4.0.15, 4.2.11, 4.4.6, y 4.5.6

Mozilla ya ha aplicado el parche en su propio servidor de Bugzilla público en bugzilla.mozilla.org, sin embargo, esa instalación nunca fue configurada para permitir el escalamiento de privilegios basado en correo electrónico.