Odkrywają lukę, która od 18 lat wpływa na przeglądarki Safari, Chrome i Firefox

Madryt (Portaltic/EP) – Badacze zajmujący się cyberbezpieczeństwem odkryli niedawno lukę 0.0.0.0-day, która umożliwiła cyberprzestępcom dostęp do przeglądarek Safari, Chromium i Firefox za pośrednictwem sieci lokalnej różnych organizacji i komputerów osobistych.

Zespół Oligo Security odkrył tę lukę dnia zerowego w głównych przeglądarkach, która umożliwia zewnętrznym witrynom internetowym komunikację i eksplorację oprogramowania działającego w systemach MacOS i Linux. Oznacza to, że system Windows będzie zwolniony z tego problemu.

Jak wynika z oświadczenia na ich blogu, specjaliści wskazali, że wpływ tej luki, znanej jako 0.0.0.0 Day, jest „dalekosiężny” i dotyka indywidualnych użytkowników, organizacje i firmy.

Luka ta, której pierwsze oznaki zgłoszono w 2006 roku, pozostawia cyberprzestępcom otwarte drzwi do dostępu do poufnych usług działających na urządzeniach lokalnych za pośrednictwem przeglądarek internetowych Chromium (Google), Firefox (Mozilla) i Safari (Apple).

W szczególności problem wynika z pozornie nieszkodliwego adresu IP 0.0.0.0, który „może stać się narzędziem” dla złośliwych podmiotów w celu wykorzystania usług lokalnych i wykonania złośliwego kodu.

Dzieje się tak, ponieważ publiczne witryny internetowe (takie jak te oferujące domenę .com) mogą łączyć się z usługami działającymi w sieci lokalnej (localhost) komputerów docelowych i potencjalnie wykonywać dowolny kod na „hoście” użytkownika przy użyciu adresu 0.0.0.0.

Badacze podkreślili również, że użytkownik zgłosił błąd firmie Mozilla w 2006 roku, twierdząc, że witryny publiczne zaatakowały jego router w sieci wewnętrznej, w czasie, gdy „sieci wewnętrzne i ogólnie Internet były z założenia niepewne”.

W tamtym czasie wiele usług nie posiadało uwierzytelnienia, a certyfikaty bezpieczeństwa SSL i HTTPS nie były rozpowszechnione na wszystkich stronach internetowych, dlatego wiele z nich było ładowanych przez niepewny adres HTTP.

Chociaż zgłoszono ten błąd, w ciągu 18 lat od tego czasu do chwili obecnej „ten problem został zamknięty, ponownie otwarty i ponownie przypisano mu priorytet jako poważny i krytyczny”, ale nie podjęto żadnych działań, aby go rozwiązać.

Podjęto środki

Oligo Security zauważyło, że po „odpowiedzialnym” ujawnieniu luki udostępniono dokumenty z prośbą o komentarz (RFC), a niektóre przeglądarki „wkrótce całkowicie zablokują dostęp do wersji 0.0.0.0”.

W rzeczywistości Apple potwierdził Forbesowi, że wprowadza szereg zmian w wersji beta swojego najnowszego systemu operacyjnego, macOS Sequoia, aby rozwiązać problem.

Jednak firma zajmująca się cyberbezpieczeństwem ostrzegła, że ​​Apple wprowadził „znaczące zmiany w WebKit”, aby uniemożliwić dostęp do wersji 0.0.0.0, i dodała znacznik wyboru do adresu IP docelowego „hosta”. W ten sposób w momencie ustalenia, że ​​żądanie ma same zera, zostaje zablokowane.

Chrome ze swojej strony udostępnił swoją witrynę, zauważając, że „usuwa bezpośredni dostęp do punktów końcowych sieci prywatnej z publicznych witryn internetowych w ramach specyfikacji dostępu do sieci prywatnej (PNA)”.

Robi to począwszy od Chromium 128, a zmiana ta będzie wdrażana „stopniowo w kolejnych wersjach”, a zakończy się w Chrome 133. W tej chwili „cały adres IP wszystkich użytkowników Chrome i Chromium zostanie zablokowany” – twierdzi Oligo Bezpieczeństwo.

Mozilla nie wydała w tej chwili natychmiastowej poprawki dla Firefoksa, chociaż trwają prace nad jedną z nich. Naukowcy zauważyli, że przeglądarka „nigdy nie ograniczała dostępu do sieci prywatnej, więc technicznie rzecz biorąc, zawsze było to dozwolone”. Zmieniła jednak specyfikacje RFC i nadała priorytet wdrożeniu PNA, chociaż nie zostało ono ukończone.