Investigadores de ciberseguridad han descubierto un nuevo “0.0.0.0 Day” que afecta a todos los principales navegadores web y que los sitios web maliciosos podrían aprovechar para penetrar en las redes locales.
Esta vulnerabilidad crítica “revela una falla fundamental en la forma en que los navegadores manejan las solicitudes de red, permitiendo potencialmente que actores maliciosos accedan a servicios sensibles que se ejecutan en dispositivos locales”, dijo Avi Lumelsky, investigador de seguridad de OligoSecurity. dicho.
La compañía israelí de seguridad de aplicaciones dijo que las implicaciones de la vulnerabilidad son de gran alcance y son el resultado de una implementación inconsistente de mecanismos de seguridad y una falta de estandarización en los diferentes navegadores.
Por lo tanto, una dirección IP aparentemente inofensiva como 0.0.0.0 podría usarse como arma para explotar servicios locales, lo que provocaría acceso no autorizado y ejecución remota de código por parte de atacantes fuera de la red. Esta falla existe desde 2006.
La falla 0.0.0.0 Day afecta a Google Chrome/Chromium, Mozilla Firefox y Apple Safari porque permite que sitios web externos se comuniquen con software que se ejecuta localmente en MacOS y Linux. No afecta a los dispositivos Windows porque Microsoft bloquea la dirección IP a nivel del sistema operativo.
En particular, Oligo Security descubrió que los sitios web públicos que utilizan dominios que terminan en “.com” pueden comunicarse con servicios que se ejecutan en la red local y ejecutar código arbitrario en el host del visitante utilizando la dirección 0.0.0.0 en lugar de localhost/127.0. 0.1.
Esto también es un bypass del acceso a la red privada (ANP), cuyo objetivo es prohibir que los sitios web públicos accedan directamente a puntos finales ubicados en redes privadas.
Cualquier aplicación que se ejecute en localhost y sea accesible a través de 0.0.0.0 se puede ejecutar de forma remota, incluidas las instancias locales de Selenium Grid, enviando una solicitud POST a 0.0.0.[.]0:4444 con una carga útil fabricada.
En respuesta a los hallazgos de abril de 2024, los navegadores web deberían bloquear completamente el acceso a 0.0.0.0, eliminando el acceso directo a puntos finales de redes privadas desde sitios web públicos.
“Cuando los servicios utilizan localhost, asumen un entorno restringido”, dijo Lumelsky. “Esta suposición, que puede (como en el caso de esta vulnerabilidad) ser incorrecta, da como resultado implementaciones de servidor inseguras. »
“Al usar 0.0.0.0 con modo sin cors, los atacantes pueden usar dominios públicos para atacar servicios que se ejecutan en localhost e incluso lograr la ejecución de código arbitrario (RCE), todo usando una única solicitud HTTP. »