До недавнего времени система отслеживания ошибок Google, известная внутри компании как Buganizer, содержала уязвимость, с помощью которой посторонние могли получить доступ к неисправленным багам, указанным и описанным в служебной базе данных.

За обнаружение этой и двух других неисправностей разработчик ПО Алекс Бирсан (Alex Birsan), увлекающийся поиском программных ошибок, получил вознаграждение общей суммой более 15 000 долларов США. Самая серьезная из этих уязвимостей позволила ему посредством модификации запроса к системе повысить привилегии и получить права доступа ко всем сведениям о конкретной ошибке.

«Система [отслеживания ошибок] открыта для всех, у кого есть учетная запись Google, хотя большинство ошибок, зарегистрированных в этой системе, могут смотреть только сотрудники Google, — говорит Бирсан. — К некоторым из этих ошибок есть доступ только у ограниченного круга специалистов. Я обнаружил неисправность, за счет которой мне удалось просмотреть абсолютно все задокументированные ошибки».

Во вчерашнем посте на Medium Бирсан пишет, что в сравнении со специалистами Google сторонние пользователи имеют очень ограниченный доступ к служебной системе отслеживания ошибок. По его словам, он нашел метод JavaScript, который позволяет любому убрать свои учетные данные из списка CC — с помощью запроса POST — и таким образом изучить подробности той или иной ошибки. Бирсан сказал, что при желании он мог бы получить доступ ко всей базе данных.

«Я не знаю точно, какие сведения там еще хранятся, потому что ограничился лишь целями тестирования, — сказал программист. — Когда стало ясно, что мне удалось получить расширенные права, я прекратил изучение».

По словам Бирсана, для воспроизведения уязвимости он ввел в систему несколько последовательных номеров отслеживания.

«Да, я смог просмотреть отчеты об уязвимостях, а также все остальное, что хранится в Buganizer, — пишет исследователь, добавляя, что в течение часа служба безопасности Google отключила конечную точку, через которую он получил доступ к системе. — Более того, в рамках одного запроса я смог извлечь данные о нескольких запланированных задачах, поэтому даже при отслеживании всей внутренней активности в реальном времени такие запросы не вызовут срабатывание ограничителя скорости передачи».

Бирсан считает, что Google следует ввести дополнительные ограничения, чтобы злоумышленник с аналогичными правами доступа не смог воспользоваться ими в своих целях.

«Все зависит от характера эксплойтов, которые мог бы применить злоумышленник, — пишет Бирсан. — По большому счету, для проведения подобной атаки нужно обладать хорошими техническими знаниями и уметь быстро писать скрипты для операций после вторжения, чтобы успеть применить эксплойт до выпуска патча».

Незадолго до того как Бирсан рассказал об этой проблеме, стало известно о схожей ситуации с системой отслеживания ошибок Microsoft. В заметке Reuters, опубликованной 17 октября, описана атака 2013 года на служебную систему Microsoft, информацию о которой подтвердили пять бывших сотрудников компании.

«Системы отслеживания ошибок, используемые в ведущих технологических компаниях, — это лакомый кусочек для злоумышленников, которые проводят атаки «нулевого дня». Доступ к закрытой системе отслеживания ошибок дает им фору для подготовки эксплойта, а также помогает найти похожие ошибки раньше, чем это сделают специалисты по безопасности, — говорит эксперт Tripwire Крэйг Янг (Craig Young). — Кроме того, используя несанкционированный доступ к системе отслеживания ошибок, продвинутый злоумышленник способен отложить выпуск исправлений — например, помешать разработчикам вовремя увидеть отчет, изменить актуальные данные, чтобы специалистам не удалось воспроизвести уязвимость, или просто закрыть тикеты».

Категории: Уязвимости