Een aanvaller heeft zeker een jaar lang toegang tot het bugsysteem van Mozilla gehad en informatie over tenminste één ongepatchte kwetsbaarheid in Firefox gebruikt om gebruikers van de opensourcebrowser aan te vallen. Dat heeft Mozilla via een blogposting gisteren bekendgemaakt.

Via Bugzilla registreert Mozilla bugs en beveiligingsproblemen in verschillende softwareprojecten, zoals Firefox en de e-mailclient Thunderbird. De toegang is beperkt tot bepaalde gebruikers. Een gebruiker die toegang tot gevoelige beveiligingsinformatie had, had het wachtwoord voor Bugzilla ook op een andere website gebruikt. Deze niet nader genoemde website werd gehackt, waardoor het wachtwoord uiteindelijk in handen van de aanvaller kwam die zo toegang tot het Bugzilla-account van deze gebruiker wist te krijgen.

Voor zover bekend heeft de aanvaller op deze manier sinds september 2014 toegang tot Bugzilla gehad, maar zijn er sommige aanwijzingen die erop duiden dat de aanvaller al sinds september 2013 op het account inlogde. In deze tijd heeft de aanvaller informatie over 185 niet-openbare bugs in Firefox opgezocht. Het gaat om 110 niet-security gerelateerde bugs, 22 kleine beveiligingsproblemen en 53 kwetsbaarheden die als 'high' of 'kritiek' waren bestempeld. Van deze 53 lekken waren er 43 gepatcht op het moment dat de aanvaller ze ontdekte. Mozilla stelt dat de aanvaller de informatie over deze 43 lekken waarschijnlijk niet heeft kunnen gebruiken om Firefox-gebruikers aan te vallen.

Zero day-lek

Wat betreft de overige 10 kwetsbaarheden waren 3 daarvan respectievelijk 131, 157 en 335 dagen bij de aanvaller bekend voordat er een patch verscheen. De overige 7 lekken waren minder dan 36 dagen bekend. "We denken dat ze deze informatie hebben gebruikt om Firefox-gebruikers aan te vallen", aldus Richard Barnes van Mozilla. Het gaat dan ook om het zero day-lek dat Mozilla op 6 augustus patchte en dat gebruikt werd om gevoelige bestanden van Firefox-gebruikers te stelen. Voor zover bekend bij Mozilla is informatie over de andere 9 beveiligingslekken niet gebruikt. Op 27 augustus verscheen er een nieuwe Firefox-versie waarin alle kwetsbaarheden waren gepatcht waar de aanvaller toegang toe had.

Vanwege het incident heeft Mozilla besloten de beveiliging van Bugzilla op te schroeven. Van alle gebruikers die toegang tot gevoelige beveiligingsinformatie hebben is het wachtwoord gereset en het gebruik van twee-factor authenticatie verplicht gemaakt. Daarnaast is het aantal gebruikers met speciale toegang beperkt, alsmede wat deze gebruikers kunnen doen. Dit moet het lastiger voor een aanvaller maken om toegang tot een account te krijgen en de hoeveelheid informatie beperken die bij een succesvolle aanval kan worden gestolen.