Un cibercriminal tuvo acceso a información sobre fallos de seguridad en Firefox durante un año
La compañía Mozilla ha anunciado que un cibercriminal ha tenido acceso a información confidencial a un número muy importante de vulnerabilidades sin solucionar en el navegador Firefox. Mozilla también ha comunicado que existen pruebas de que al menos uno de estos fallos de seguridad han sido explotados.
La brecha de seguridad no ha ocurrido porque se haya encontrado un fallo de seguridad en Bugzilla (el sistema de seguimiento de vulnerabilidades de seguridad de Mozilla), sin embargo, el atacante sí consiguió hacerse con la cuenta de usuario y contraseña de varios usuarios con permisos de acceso a esta información confidencial. ¿Cómo consiguió el atacante hacerse con estos credenciales? Según ha indicado Mozilla, estos usuarios con privilegios reutilizaron los mismos usuarios y contraseñas en otro sitio web que sí se vio comprometido.
Siempre lo repetimos, nunca se deben reutilizar las contraseñas en otros sitios webs debido a que si vulneran uno de ellos, tendrán los credenciales de acceso a otros servicios de forma fácil y rápida.
El acceso no autorizado más reciente ocurrió en septiembre de 2014, pero según Mozilla se cree que el atacante tuvo acceso desde septiembre de 2013. Es decir, el atacante tuvo acceso a información confidencial de uno de los navegadores más utilizados del mundo durante al menos 1 año.
El atacante tuvo acceso a 185 fallos de seguridad que nunca se hicieron públicos, 53 de estos fallos fueron vulnerabilidades catalogadas como graves y que no fueron solucionadas cuando el atacante tuvo conocimiento de ellas. 43 de estos fallos graves ya habían sido solucionadas en una nueva versión de Firefox al mismo tiempo que el atacante se enteró de ellas. De las otras 10 restantes, 2 de ellas se solucionaron una semana después de que el atacante accediera a la información sobre ellas, 5 se solucionaron en menos de 1 mes y las otras 3 se tardó hasta 335 días después.
Según Mozilla, es posible que alguno de estos fallos de seguridad se utilizasen para atacar a los usuarios de Firefox, sin embargo sólo se ha detectado un ataque. Es posible que estos ataques no se hicieran a gran escala sino muy delimitados y por este motivo nunca han sido vistos por los usuarios ni por los investigadores de seguridad.
Mozilla ya ha introducido cambios importantes en Bugzilla para evitar que esto vuelva a suceder:
- Han incorporado un sistema de reseteo de claves de todos los usuarios con privilegios.
- Han incorporado la autenticación en dos pasos obligatoria para iniciar sesión en Bugzilla.
- Limitación a la cantidad de información confidencial que los usuarios pueden acceder.
Con Firefox 40.0.3 todos los fallos de seguridad a los que tuvo acceso el atacante han sido solucionados, por lo que es recomendable utilizar esta nueva versión como mínimo.