Pesquisadores de segurança cibernética descobriram um novo “Dia 0.0.0.0” que afeta todos os principais navegadores da internet e que websites maliciosos podem aproveitar para violar redes locais.
A vulnerabilidade crítica “expõe uma falha basic na forma como os navegadores lidam com solicitações de rede, potencialmente concedendo a agentes mal-intencionados acesso a serviços confidenciais executados em dispositivos locais”, disse o pesquisador da Oligo Safety, Avi Lumelsky.
A empresa israelense de segurança de aplicativos disse que as implicações da vulnerabilidade são de longo alcance e que decorrem da implementação inconsistente de mecanismos de segurança e da falta de padronização entre diferentes navegadores.
Como resultado, um endereço IP aparentemente inofensivo como 0.0.0.0 poderia ser usado como arma para explorar serviços locais, resultando em acesso não autorizado e execução remota de código por invasores fora da rede. Dizem que a brecha existe desde 2006.
0.0.0.0 Day impacta o Google Chrome/Chromium, Mozilla Firefox e Apple Safari, que permite que websites externos se comuniquem com softwares executados localmente no MacOS e Linux. Ele não afeta dispositivos Home windows, pois a Microsoft bloqueia o endereço IP no nível do sistema operacional.
Em specific, a Oligo Safety descobriu que websites públicos que usam domínios terminados em “.com” conseguem se comunicar com serviços executados na rede native e executar código arbitrário no host do visitante usando o endereço 0.0.0.0 em vez de localhost/127.0.0.1.
Também é um desvio do Personal Community Entry (PNA), que foi projetado para proibir websites públicos de acessar diretamente endpoints localizados em redes privadas.
Qualquer aplicativo executado no host native e que pode ser acessado through 0.0.0.0 provavelmente é suscetível à execução remota de código, incluindo instâncias locais do Selenium Grid, enviando uma solicitação POST para 0.0.0(.)0:4444 com uma carga útil criada.
Em resposta às descobertas, em abril de 2024, espera-se que os navegadores da internet bloqueiem completamente o acesso a 0.0.0.0, descontinuando assim o acesso direto a pontos de extremidade de rede privada de websites públicos.
“Quando os serviços usam o localhost, eles assumem um ambiente restrito”, disse Lumelsky. “Essa suposição, que pode (como no caso dessa vulnerabilidade) ser falha, resulta em implementações de servidor inseguras.”
“Ao usar 0.0.0.0 junto com o modo 'no-cors', os invasores podem usar domínios públicos para atacar serviços executados no host native e até mesmo obter execução de código arbitrário (RCE), tudo usando uma única solicitação HTTP.”