Puede que Bugzilla no sea conocido para el gran público, pero lleva siendo desde hace muchos años una herramienta indispensable para el seguimiento de errores, tanto en software libre como propietario. Es por eso llamativo que se haya descubierto una vulnerabilidad en este software que permitiría a un atacante realizar una escalada de privilegios y obtener así permisos para acceder a información sobre vulnerabilidades en programas que hayan sido reportadas usando este software.
Analizando la vulnerabilidad
La vulnerabilidad fue descubierta por investigadores de Check Point y permitiría a un atacante generar una nueva cuenta de Bugzilla y sobrescribir ciertos parámetros cuando finaliza la creación de la cuenta. Esto puede resultar en que se utilice una dirección de email diferente a la solicitada y añadir el nombre de registro de forma automática a los grupos basándose en la configuración de la expresión regular del grupo.
En la práctica, esto es un serio problema, puesto que personas que no deberían tener acceso a información confidencial sobre vulnerabilidades podrían acceder a esa información y utilizarla en su beneficio o venderla al mejor postor. Esto provocaría que se aprovechasen estas vulnerabilidades y empezasen a circular exploits antes de que el fabricante pueda solucionar estos agujeros de seguridad reportados.
Compra y venta de fallos de seguridad
El mercado de vulnerabilidades es algo común en estos días de forma legal, como se realiza con empresas como Zero Day Initiative, que recompensan a los investigadores por reportar estos fallos de seguridad a la vez que informan a las empresas y las incitan a solucionar estos fallos.
No obstante, también existe un mercado negro de vulnerabilidades que se compran y venden en foros que escapan al control de cualquier autoridad. Aquí es donde se encuentra realmente el peligro, puesto que muchas de estas vulnerabilidades tardan bastante en salir a la luz y, mientras que esto no suceda, los usuarios quedan expuestos a los ataques que se aprovechen de estos fallos de seguridad.
Soluciones
Afortunadamente, en el caso que nos ocupa, Bugzilla ya ha lanzado un parche que soluciona esta y otras vulnerabilidades, por lo que se urge a todo aquel que utilice el software que actualice a la versión más reciente.
El tema de la gestión de las vulnerabilidades es algo bastante crítico y que tiene a varias posturas enfrentadas: desde los que abogan por una revelación responsable de estos fallos para dar tiempo a los fabricantes, a los que se decantan por la revelación completa para que estos fallos no caigan en el olvido y obligue a los fabricantes a solucionarlo cuando antes, pasando por los que quieren un pago justo por sus investigaciones.
Cada una de estas posturas es respetable, pero se ha de llegar a un consenso para evitar que el usuario sea, como casi siempre, una víctima indefensa.