Los desarrolladores de la red anónima Tor han publicado los resultados de una auditoría del navegador Tor y de las herramientas OONI Probe, rdsys, BridgeDB y Conjure desarrolladas por el proyecto, utilizadas para eludir la censura. La auditoría fue realizada por Cure53 desde noviembre de 2022 hasta abril de 2023.
Durante la auditoría se identificaron 9 vulnerabilidades, de las cuales dos fueron clasificadas como peligrosas, a una se le asignó un nivel de peligrosidad medio y 6 fueron clasificadas como problemas con un nivel de peligrosidad menor. También en el código base se encontraron 10 problemas que fueron clasificados como fallas no relacionadas con la seguridad. En general, se observa que el código del Proyecto Tor cumple con prácticas de programación segura.
La primera vulnerabilidad peligrosa estaba presente en el backend del sistema distribuido rdsys, que garantiza la entrega de recursos como listas de proxy y enlaces de descarga a usuarios censurados. La vulnerabilidad se debe a una falta de autenticación al acceder al controlador de registro de recursos y permitió a un atacante registrar su propio recurso malicioso para entregárselo a los usuarios. La operación se reduce a enviar una solicitud HTTP al controlador rdsys.
La segunda vulnerabilidad peligrosa se encontró en el navegador Tor y fue causada por una falta de verificación de firma digital al recuperar una lista de nodos puente a través de rdsys y BridgeDB. Dado que la lista se carga en el navegador en la etapa previa a la conexión a la red Tor anónima, la falta de verificación de la firma digital criptográfica permitió al atacante reemplazar el contenido de la lista, por ejemplo, interceptando la conexión o pirateando el servidor. a través del cual se distribuye la lista. En caso de un ataque exitoso, el atacante podría hacer arreglos para que los usuarios se conecten a través de su propio nodo puente comprometido.
Una vulnerabilidad de gravedad media estaba presente en el subsistema rdsys en el script de implementación del ensamblado y permitía a un atacante elevar sus privilegios del usuario nadie al usuario rdsys, si tenía acceso al servidor y la capacidad de escribir en el directorio con permisos temporales. archivos. Explotar la vulnerabilidad implica reemplazar el archivo ejecutable ubicado en el directorio /tmp. Obtener derechos de usuario de rdsys permite a un atacante realizar cambios en los archivos ejecutables iniciados a través de rdsys.
Las vulnerabilidades de baja gravedad se debían principalmente al uso de dependencias obsoletas que contenían vulnerabilidades conocidas o la posibilidad de denegación de servicio. Las vulnerabilidades menores en el navegador Tor incluyen la capacidad de omitir JavaScript cuando el nivel de seguridad está establecido en el nivel más alto, la falta de restricciones en la descarga de archivos y la posible fuga de información a través de la página de inicio del usuario, lo que permite rastrear a los usuarios entre reinicios.
Actualmente, se han solucionado todas las vulnerabilidades, entre otras cosas, se ha implementado la autenticación para todos los controladores rdsys y se ha añadido la comprobación de las listas cargadas en el navegador Tor mediante firma digital.
Además, podemos destacar el lanzamiento del navegador Tor 13.0.1. La versión está sincronizada con el código base de Firefox 115.4.0 ESR, que corrige 19 vulnerabilidades (13 se consideran peligrosas). Las correcciones de vulnerabilidad de la rama 13.0.1 de Firefox se han transferido al navegador Tor 119 para Android.
Fuente: opennet.ru