Австралийский ИБ-эксперт Крис Моберли (Chris Moberly), работающий в GitLab, обнаружил опасную ошибку в браузере Firefox для Android (десктопные версии проблема не затронула). По сути, этот баг позволял вынудить пользователей в той же сети Wi-Fi обращаться к вредоносным сайтам (при условии, что у жертв установлен Firefox).
Уязвимость была связана с работой компонента Firefox SSDP (Simple Service Discovery Protocol). С помощью этого механизма Firefox обнаруживает другие устройства в той же сети и может делиться с ними контентом. Так, если рядом обнаруживаются другие девайсы, Firefox SSDP получает доступ к XML-файлу, где хранится конфигурация «соседнего» устройства.
Моберли обнаружил, что в коде этого XML-файла можно скрыть intent-команды, и старые версии Firefox в итоге выполнят intent-команду, которая может, например, направить браузер по какой-либо ссылке.
Таким образом, хакер может прийти в общественное место (например, в аэропорт или торговый центр), подключиться к местной сети Wi-Fi, а затем запустить скрипт, который будет отправлять в сеть модифицированные пакеты SSDP. Любой владелец Android-устройства, пользовавшийся браузером Firefox во время этой атаки, может в итоге оказаться на вредоносном сайте, или его вынудят установить вредоносное расширение для Firefox.
Другой пример эксплуатации бага: злоумышленник может атаковать уязвимые Wi-Fi роутеры, а затем спамить внутреннюю сеть компании, в итоге заставив сотрудников повторно пройти аутентификацию на фишинговых страницах.
Демонстрацию атаки на практике можно увидеть ниже: проблему эксплуатировал сам Моберли и эксперт ESET Лукас Стефанко.
Found a neat little Firefox for Android bug. Current version is not vulnerable, please make sure you are up to date. 🙂 https://t.co/p31XPGBsze pic.twitter.com/coG3tcMiAI
— initstring (@init_string) September 15, 2020
Exploitation of LAN vulnerability found in Firefox for Android
— Lukas Stefanko (@LukasStefanko) September 18, 2020
I tested this PoC exploit on 3 devices on same wifi, it worked pretty well.
I was able to open custom URL on every smartphone using vulnerable Firefox (68.11.0 and below) found by @init_string https://t.co/c7EbEaZ6Yx pic.twitter.com/lbQA4qPehq
Разработчики Mozilla исправили данный баг в Firefox 79 и теперь советуют пользователям как можно скорее обновить браузер.