De ontwikkelaars van het anonieme Tor-netwerk hebben de resultaten gepubliceerd van een audit van de Tor Browser en de OONI Probe-, rdsys-, BridgeDB- en Conjure-tools die door het project zijn ontwikkeld en die worden gebruikt om censuur te omzeilen. De audit werd uitgevoerd door Cure53 van november 2022 tot april 2023.
Tijdens de audit zijn negen kwetsbaarheden geïdentificeerd, waarvan er twee zijn geclassificeerd als gevaarlijk, één een middelmatig gevaarsniveau heeft gekregen en zes zijn geclassificeerd als problemen met een klein gevaarsniveau. Ook in de codebasis werden 9 problemen gevonden die werden geclassificeerd als niet-beveiligingsgerelateerde fouten. Over het algemeen wordt opgemerkt dat de code van het Tor-project voldoet aan veilige programmeerpraktijken.
De eerste gevaarlijke kwetsbaarheid was aanwezig in de backend van het rdsys-gedistribueerde systeem, dat zorgt voor de levering van bronnen zoals proxylijsten en downloadlinks aan gecensureerde gebruikers. Het beveiligingslek wordt veroorzaakt door een gebrek aan authenticatie bij toegang tot de bronregistratiehandler, waardoor een aanvaller zijn eigen kwaadaardige bron kon registreren voor levering aan gebruikers. De werking komt neer op het verzenden van een HTTP-verzoek naar de rdsys-handler.
De tweede gevaarlijke kwetsbaarheid werd gevonden in Tor Browser en werd veroorzaakt door een gebrek aan verificatie van digitale handtekeningen bij het ophalen van een lijst met bridge-nodes via rdsys en BridgeDB. Omdat de lijst in de browser wordt geladen in de fase voordat verbinding wordt gemaakt met het anonieme Tor-netwerk, kon een aanvaller door het gebrek aan verificatie van de cryptografische digitale handtekening de inhoud van de lijst vervangen, bijvoorbeeld door de verbinding te onderscheppen of de server te hacken. via welke de lijst wordt verspreid. In het geval van een succesvolle aanval kan de aanvaller ervoor zorgen dat gebruikers verbinding maken via hun eigen gecompromitteerde bridge-knooppunt.
Er was een kwetsbaarheid van gemiddelde ernst aanwezig in het rdsys-subsysteem in het assemblage-implementatiescript, waardoor een aanvaller zijn bevoegdheden kon verhogen van de niemand-gebruiker naar de rdsys-gebruiker, als hij toegang had tot de server en de mogelijkheid had om met tijdelijke bestanden naar de map te schrijven. bestanden. Om het beveiligingslek te misbruiken, moet het uitvoerbare bestand in de map /tmp worden vervangen. Door rdsys-gebruikersrechten te verkrijgen, kan een aanvaller wijzigingen aanbrengen in uitvoerbare bestanden die via rdsys zijn gelanceerd.
Kwetsbaarheden met een lage ernst waren voornamelijk te wijten aan het gebruik van verouderde afhankelijkheden die bekende kwetsbaarheden bevatten of de mogelijkheid van denial-of-service. Kleine kwetsbaarheden in Tor Browser zijn onder meer de mogelijkheid om JavaScript te omzeilen wanneer het beveiligingsniveau op het hoogste niveau is ingesteld, het ontbreken van beperkingen op het downloaden van bestanden en het potentiële lekken van informatie via de startpagina van de gebruiker, waardoor gebruikers tussen herstarts kunnen worden gevolgd.
Momenteel zijn alle kwetsbaarheden verholpen; er is onder andere authenticatie geïmplementeerd voor alle rdsys-handlers en het controleren van lijsten die in de Tor Browser zijn geladen door middel van een digitale handtekening is toegevoegd.
Bovendien kunnen we de release van Tor Browser 13.0.1 noteren. De release is gesynchroniseerd met de Firefox 115.4.0 ESR-codebase, die 19 kwetsbaarheden verhelpt (13 worden als gevaarlijk beschouwd). Kwetsbaarheidsoplossingen van Firefox tak 13.0.1 zijn overgebracht naar Tor Browser 119 voor Android.
Bron: opennet.ru