Suicide
21.09.2020, 19:11
В Firefox для Android выявлена (https://initblog.com/2020/firefox-android/) серьёзная уязвимость (https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/tree/master/firefox-android-2020) в реализации протокола SSDP (https://ru.wikipedia.org/wiki/Simple_Service_Discovery_Protocol), применяемого для обнаружения сетевых сервисов в локальной сети. Уязвимость позволяет атакующему, находящемуся в той же локальной или беспроводной сети, ответить на проверочные запросы Firefox сообщением UPnP XML "LOCATION" с intent-командами (https://developer.android.com/training/basics/intents/sending), при помощи которых можно открыть в браузере произвольный URI или вызвать обработчики других приложений.
Проблема проявляется вплоть до выпуска Firefox для Android 68.11.0 (https://archive.mozilla.org/pub/mobile/releases/) и устранена в версии Firefox для Android 79, т.е. старые классические выпуски Firefox для Android уязвимы и для блокирования проблемы требуется переход на новую редакцию (https://www.opennet.ru/opennews/art.shtml?num=53634) браузера (Fenix), в которой используется движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components (https://mozilla-mobile.github.io/android-components/). Версии Firefox для настольных систем проблема не затрагивает.
Для тестирования уязвимости подготовлен (https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/blob/master/firefox-android-2020/ffssdp.py) рабочий прототип эксплоита. Атака осуществляется без каких-либо действий со стороны пользователя, достаточно чтобы на мобильном устройстве был запущен уязвимый браузер Firefox для Android и чтобы жертва находилась в одной подсети с SSDP-сервером атакующего.
Firefox для Android периодически в широковещательном режиме (multicast UDP) отправляет SSDP-сообщения для определения присутствующих в локальной сети устройств вещания, таких как мультимедийные плееры и умные телевизоры. Все устройства в локальной сети получают данные сообщения и имеют возможность направить ответ. В штатном режиме устройство возвращает ссылку на местоположение XML-файла с информацией об устройстве, поддерживающем UPnP. При проведении атаки вместо ссылки на XML можно передать URI с intent-командами для Android.
При помощи intent-команд можно перенаправить пользователя на фишинг-сайты или передать ссылку на xpi-файл (браузер выдаст предложение установить дополнение). Так как ответы атакующего ничем не ограничены он может попытаться взять измором и наводнить браузер предложениями об установке или вредоносными сайтами в надежде, что пользователь ошибётся и кликнет на установке вредоносного пакета. Помимо открытия произвольных ссылок в самом браузере intent-команды могут использоваться для обработки контента и в других Android-приложениях, например, можно открыть шаблон письма в почтовом клиенте (URI mailto: ) или запустить интерфейс для совершения звонка (URI tel: ).
https://gitlab.com/gitlab-com/gl-se...tes/-/raw/master/firefox-android-2020/poc.mp4 (https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/raw/master/firefox-android-2020/poc.mp4)
19.09.2020.
https://www.opennet.ru/opennews/art.shtml?num=53745
Проблема проявляется вплоть до выпуска Firefox для Android 68.11.0 (https://archive.mozilla.org/pub/mobile/releases/) и устранена в версии Firefox для Android 79, т.е. старые классические выпуски Firefox для Android уязвимы и для блокирования проблемы требуется переход на новую редакцию (https://www.opennet.ru/opennews/art.shtml?num=53634) браузера (Fenix), в которой используется движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components (https://mozilla-mobile.github.io/android-components/). Версии Firefox для настольных систем проблема не затрагивает.
Для тестирования уязвимости подготовлен (https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/blob/master/firefox-android-2020/ffssdp.py) рабочий прототип эксплоита. Атака осуществляется без каких-либо действий со стороны пользователя, достаточно чтобы на мобильном устройстве был запущен уязвимый браузер Firefox для Android и чтобы жертва находилась в одной подсети с SSDP-сервером атакующего.
Firefox для Android периодически в широковещательном режиме (multicast UDP) отправляет SSDP-сообщения для определения присутствующих в локальной сети устройств вещания, таких как мультимедийные плееры и умные телевизоры. Все устройства в локальной сети получают данные сообщения и имеют возможность направить ответ. В штатном режиме устройство возвращает ссылку на местоположение XML-файла с информацией об устройстве, поддерживающем UPnP. При проведении атаки вместо ссылки на XML можно передать URI с intent-командами для Android.
При помощи intent-команд можно перенаправить пользователя на фишинг-сайты или передать ссылку на xpi-файл (браузер выдаст предложение установить дополнение). Так как ответы атакующего ничем не ограничены он может попытаться взять измором и наводнить браузер предложениями об установке или вредоносными сайтами в надежде, что пользователь ошибётся и кликнет на установке вредоносного пакета. Помимо открытия произвольных ссылок в самом браузере intent-команды могут использоваться для обработки контента и в других Android-приложениях, например, можно открыть шаблон письма в почтовом клиенте (URI mailto: ) или запустить интерфейс для совершения звонка (URI tel: ).
https://gitlab.com/gitlab-com/gl-se...tes/-/raw/master/firefox-android-2020/poc.mp4 (https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/raw/master/firefox-android-2020/poc.mp4)
19.09.2020.
https://www.opennet.ru/opennews/art.shtml?num=53745