Parche para la vulnerabilidad 0.0.0.0 en los navegadores Chrome, Firefox y Safari • The Register

Se ha abordado una supervisión de seguridad de años en casi todos los navegadores web: navegadores basados ​​en Chromium, incluidos Microsoft Edge y Google Chrome, y navegadores WebKit como Safari de Apple y Firefox de Mozilla.

Pueden y han sido explotados por delincuentes para acceder a servicios de software a los que no deberían tener acceso. Esta vulnerabilidad afecta a los navegadores mencionados anteriormente en macOS y Linux (y posiblemente a otros navegadores), pero al menos no en Windows.

Una empresa llamada Oligo Security reveló la vulnerabilidad este mes y la llamó Día 0.0.0.0 porque se relaciona con la dirección IPv4 0.0.0.0. Parece que los atacantes han estado abusando de esta vulnerabilidad desde al menos finales de la década de 2000, según Mozilla Bugzilla. cadena de esa época, que todavía figura como abierta.

Según Oligo, cada uno de los tres equipos de navegadores prometió bloquear todo acceso a 0.0.0.0 y también prometió implementar sus propias mitigaciones para cerrar la vulnerabilidad del host local.

El problema es muy simple: si abre una página web maliciosa en un navegador vulnerable en un sistema operativo vulnerable, esa página puede enviar solicitudes a 0.0.0.0 y al puerto de su elección. Si tiene otros servidores o servicios ejecutándose localmente en su dispositivo en este puerto, estas solicitudes irán allí.

Entonces, si tiene algún servicio ejecutándose en una estación de trabajo macOS o Linux en el puerto 11223 y supone que nadie puede acceder a él porque está detrás de su firewall y su gran navegador está bloqueando solicitudes externas al host local, piénselo de nuevo porque ese navegador Una solicitud 0.0.0.0:11223 es dirigida por una página maliciosa que visitas a tu servicio.

Es una posibilidad muy remota en términos de explotación práctica, pero no querrás descubrir que algún sitio ha llegado a tu punto final local por accidente. De hecho, es curioso que esto suceda en 2024.

Se supone que existen mecanismos de seguridad para evitar que sitios externos accedan a su servidor local de esta manera. precisamente, Intercambio de recursos entre orígenes (CORS) Especificaciones, luego las más recientes Acceso a red privada (PNA)que los navegadores utilizan para distinguir entre redes públicas y no públicas, y mejora el sistema CORS al restringir la capacidad de los sitios externos para comunicarse con servidores en redes privadas y dispositivos de alojamiento.

Sin embargo, el equipo de Oligo logró superar a la PNA. Los investigadores configuraron un servidor HTTP falso que se ejecuta en 127.0.0.1, también conocido como localhost, en el puerto 8080, y luego pudieron acceder a él desde un sitio público externo usando JavaScript, enviando una solicitud a 0.0.0.0:8080.

«Esto significa que los sitios públicos pueden acceder a cualquier puerto abierto en su host, sin poder ver la respuesta», dijo el investigador de seguridad de Oligo, Avi Lomelsky. ha sido reportado.

En respuesta, Chrome hará lo siguiente: barricada Al llegar a 0.0.0.0 a partir de Chromium 128, Google implementará gradualmente este cambio para completarlo en Chrome 133. Apple ha Cambios a su software de código abierto WebKit que bloquea el acceso a 0.0.0.0.

Mozilla no tiene una solución inmediata y no ha implementado PNA en Firefox. Según Olgio, Mozilla cambia Obtenga la especificación (RFC) para bloquear 0.0.0.0 después de su informe.

Un portavoz de Mozilla envió Registro El siguiente comunicado vía correo electrónico:

Según Oligo, esta investigación constituye un sólido argumento a favor de la PNA.

«Hasta que PNA esté completamente lanzado, los sitios web públicos pueden enviar solicitudes HTTP utilizando Javascript para acceder con éxito a los servicios en la red local», escribió Lomelski. «Para que esto cambie, necesitamos estandarizar PNA y necesitamos que los navegadores implementen PNA de acuerdo con este estándar».