Un chercheur en cybersécurité de SUSE, fabricant de distributions Linux, a rendu public une faille de sécurité grave dans le client Mozilla VPN pour Linux. Mozilla tarde à la corriger. Pourtant, cette vulnérabilité pourrait permettre à des acteurs malveillants de commettre un tas de violations de l’intégrité.
De multiples violations de l’intégrité
Dans un article publié sur Openwall, Matthias Gerstner évoque une vérification d’authentification défectueuse dans le client Mozilla VPN v2.14.1. Cette vulnérabilité a été découverte lorsque, dans le cadre d’une procédure standard, des ingénieurs de SUSE ont analysé le client Mozilla VPN avant de l’ajouter à openSUSE Tumbleweed, une distribution Linux. L’analyse a montré que le logiciel VPN « contient un service D-Bus privilégié fonctionnant en tant que root et une politique Polkit », ce qui signifie en gros que l’appel D-Bus fonctionnera pour n’importe quel compte d’utilisateur, quels que soient ses privilèges.
Si des acteurs malveillants la découvrent, cette faille pourrait leur offrir la possibilité d’exploiter le client VPN pour « configurer des configurations VPN arbitraires en utilisant Mozilla VPN, et donc éventuellement rediriger le trafic réseau vers des parties malveillantes, prétendre qu’un VPN sécurisé est présent alors qu’il ne l’est pas, effectuer un déni de service contre une connexion VPN existante ou d’autres violations de l’intégrité », a expliqué le chercheur en cybersécurité.
Avant de rendre la faille publique le 03 août dernier, SUSE l’avait déjà communiqué à Mozilla le 04 mai 2023, mais l’organisation n’a pas réagi. Maintenant qu’elle est publique, Mozilla lui a attribué le code CVE-2023-4104 et prévoit de lancer un correctif « dans une version spéciale de 2.16.1 pour Linux le 11 août 2023 », a confié un porte-parole de l’organisation à The Register.
