I ricercatori di sicurezza informatica hanno scoperto un nuovo “0.0.0.0 Day” che colpisce tutti i principali browser web, consentendo a siti web dannosi di sfruttare la vulnerabilità per violare reti locali.
Questa vulnerabilità, 0.0.0.0 day, colpisce soprattutto sistemi operativi su base Linux e macOS.
0.0.0.0 Day, in cosa consiste la vulnerabilità
La vulnerabilità critica 0.0.0.0 day “espone un difetto fondamentale nel modo in cui i browser gestiscono le richieste di rete, potenzialmente concedendo agli attori malintenzionati l’accesso a servizi sensibili in esecuzione su dispositivi locali“, ha affermato Avi Lumelsky, ricercatore di Oligo Security.
L’azienda israeliana di sicurezza delle applicazioni ha dichiarato che le implicazioni della vulnerabilità sono di vasta portata e che essa deriva da un’implementazione incoerente dei meccanismi di sicurezza e dalla mancanza di standardizzazione tra i diversi browser.
Di conseguenza, un indirizzo IP apparentemente innocuo come 0.0.0.0 potrebbe essere utilizzato come arma per sfruttare i servizi locali, causando l’accesso non autorizzato e l’esecuzione remota di codice da parte di attaccanti esterni alla rete. Si dice che questa falla esista dal 2006.
Quando Windows diventa più sicuro dei suoi “cugini”
Il “0.0.0.0 Day” colpisce Google Chrome/Chromium, Mozilla Firefox e Apple Safari, permettendo ai siti web esterni di comunicare con software in esecuzione localmente su MacOS e Linux, notare che non colpisce i dispositivi Windows, poiché Microsoft blocca l’indirizzo IP a livello del sistema operativo.
In particolare, Oligo Security ha scoperto che i siti web pubblici con domini che terminano in “.com” sono in grado di comunicare con servizi in esecuzione sulla rete locale ed eseguire codice arbitrario sul dispositivo dell’utente utilizzando l’indirizzo 0.0.0.0 invece di localhost/127.0.0.1.
Si tratta anche di un bypass della Private Network Access (PNA), progettata per impedire ai siti web pubblici di accedere direttamente agli endpoint situati all’interno di reti private.
Le conclusione dei ricercatori di sicurezza informatica
Qualsiasi applicazione che gira su localhost e che può essere raggiunta tramite 0.0.0.0 è probabilmente vulnerabile all’esecuzione remota di codice, inclusi istanze locali di Selenium Grid, inviando una richiesta POST a 0.0.0[.]0:4444 con un payload creato ad hoc.
In risposta ai risultati ottenuti nell’aprile 2024, i browser web dovrebbero bloccare completamente l’accesso a 0.0.0.0, deprecando così l’accesso diretto agli endpoint delle reti private dai siti web pubblici.
“Quando i servizi utilizzano localhost, assumono di essere in un ambiente controllato“, ha detto Lumelsky. “Questa assunzione, che può (come nel caso di questa vulnerabilità) essere errata, porta a implementazioni server insicure.”
“Utilizzando 0.0.0.0 insieme alla modalità ‘no-cors,’ gli attaccanti possono utilizzare domini pubblici per attaccare servizi in esecuzione su localhost e persino ottenere l’esecuzione arbitraria di codice (RCE), tutto utilizzando una singola richiesta HTTP.”
Casi simili avvenuti in passato
Il 0.0.0.0 day di certo non è stato il primo (e non sarà l’ultimo) problema di sicurezza avvenuto su vari sistemi operativi.
Nel corso degli anni, sono emersi diversi problemi simili che hanno messo in luce le vulnerabilità dei browser web e delle reti locali. Ad esempio, il CVE-2018-11763 sfruttava un difetto in Apache HTTP Server che permetteva agli attaccanti di eseguire codice arbitrario su server vulnerabili tramite richieste specifiche.
n altro caso noto è stato il Cross-Site Request Forgery (CSRF), che consentiva agli attaccanti di eseguire azioni non autorizzate su siti web fidati, ingannando l’utente e il browser. Inoltre, il DNS Rebinding, una tecnica utilizzata per bypassare le politiche di sicurezza del browser, permetteva agli attaccanti di dirottare la risoluzione DNS per eseguire codice dannoso sui dispositivi locali.
Questi esempi dimostrano quanto sia cruciale mantenere alti standard di sicurezza nei browser e nelle applicazioni di rete per prevenire l’accesso non autorizzato e proteggere i dati sensibili.