18 rokov stará zraniteľnosť „0.0.0.0“

Výskumný tím spoločnosti Oligo Security poukázal na zraniteľnosť s názvom “0.0.0.0 Day”, ktorá ovplyvňuje webové prehliadače Google Chrome, Mozilla Firefox, Apple Safari a prehliadače na báze Chromium. Zraniteľnosť umožňuje škodlivým webovým stránkam obchádzať zabezpečenie prehliadača a komunikovať so službami spustenými v lokálnej sieti. Útočníkovi umožňuje získanie neoprávneného prístupu k lokálnym službám a vzdialené vykonanie kódu. Zraniteľnosť je známa od roku 2006.

Zraniteľné systémy:

  • Webové prehliadače (Google Chrome/ Chromium, Mozilla Firefox, Apple Safari)
  • Operačné sytémy – MacOS, Linux
  • Aplikácie bežiace na localhost, vrátane Selenium Grid

Opis činnosti:

Zraniteľnosť umožňuje škodlivým webovým stránkam obchádzať zabezpečenie prehliadača a komunikovať so službami spustenými v lokálnej sieti organizácie. Útočníkovi umožňuje získanie neoprávneného prístupu k lokálnym službám a vzdialené vykonanie kódu. Chyba súvisí s nejednotnou implementáciou bezpečnostných mechanizmov CORS (Cross-Origin Resource Sharing) a PNA (Private Network Access) v prehliadačoch a s nedostatočnou štandardizáciou ich fungovania pri spracovaní HTTP požiadavky zasielaných na „wildcard“ IP adresu 0.0.0.0. Táto špeciálna IP adresa na operačných systémoch macOS a Linux reprezentuje všetky lokálne IP adresy a sieťové rozhrania na zariadení.

Výsledkom je, že zdanlivo neškodná IP adresa 0.0.0.0 môže byť použitá ako nástroj na zneužitie lokálnych služieb vrátane služieb používaných na vývoj, operačných systémov a dokonca aj interných sietí.

Bezpečnostní výskumníci zachytili aktívne zneužívanie zraniteľnosti v rámci nedávnych útokov ShadowRay na AI platformy, SeleniumGreed cielených na Selenium Grid alebo PyTorch inštancie. Ľubovoľná aplikácia, ktorá beží na localhoste a je prístupná cez 0.0.0.0, je pravdepodobne náchylná na vzdialené vykonávanie kódu.

Pozn. Zraniteľnosť možno zneužiť len na zariadeniach s operačnými systémami macOS a Linux. Zraniteľnosť nemá vplyv na zariadenia so systémom Windows, nakoľko spoločnosť Microsoft blokuje adresu IP na úrovni operačného systému.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Obchádzanie bezpečnostných prvkov
  • Neoprávnený prístup
  • Vzdialené vykonanie kódu

Odporúčania:

Bezodkladná aktualizácia webových prehliadačov na najnovšie verzie. Pokiaľ nemôžete aktualizovať na najnovšiu verziu, obmedzte prístup k službám bežiacim na localhost, ak sú prístupné cez IP adresu 0.0.0.0.

Odkazy:

https://www.oligo.security/blog/0-0-0-0-day-exploiting-localhost-apis-from-the-browser

https://thehackernews.com/2024/08/0000-day-18-year-old-browser.html