Saldırganlar bir kusuru kullanabilir 0.0.0.0 IP adresini kullanarak çeşitli web tarayıcılarında (Chrome, Safari, Firefox ve diğerleri) uzaktan kod çalıştıran ve kullanıcıları veri hırsızlığı, kötü amaçlı yazılımlar ve diğer kötü amaçlı faaliyetlere karşı riske atan bir uygulamadır.
Araştırmacılar açık kaynaklı güvenlik firması Oligo Security bir yol keşfettiler tarayıcı güvenliğini atlat ve “0.0.0.0 Day” adını verdikleri Web adresini istismar ettikleri için, ağın dışından bir kuruluşun yerel ağında çalışan servislerle etkileşime girerler.
Oligo AI güvenlik araştırmacısı Avi Lumesky, güvenlik açığının “farklı tarayıcılar arasında güvenlik mekanizmalarının tutarsız uygulanması ve tarayıcı sektöründeki standartlaştırma eksikliği” nedeniyle ortaya çıktığını söyledi. bir blog yazısında ortaya çıktı Bu hafta yayımlandı.
Saldırganlar, açığı kullanarak tarayıcıdaki yerel uygulama programlama arayüzlerini (API’ler) istismar edebilir ve böylece çeşitli kötü amaçlı faaliyetler gerçekleştirebilir.
Lumesky, “Sonuç olarak, görünüşte zararsız olan 0.0.0.0 IP adresi, saldırganların geliştirme, işletim sistemleri ve hatta dahili ağlar için kullanılanlar da dahil olmak üzere yerel hizmetleri istismar etmek için güçlü bir araç haline gelebilir” diye yazdı.
Kusurun Parçalanması
Kusur, tarayıcıların JavaScript kullanarak hemen hemen her HTTP sunucusuna istek gönderebilme yeteneğinde yatmaktadır; bir tarayıcının temel görevi, bir isteğe veya hataya geçerli bir yanıt sunarak doğru yanıtı iletmeye odaklanmaktır.
Sırasında tarayıcıların genellikle engellemesi beklenir Hatalı veya kötü niyetli isteklerin yanıtları aracılığıyla iletilmesini engellediği için, tarayıcılar arasında isteklerin işlenmesinde başlangıçtan bu yana etkin bir güvenlik eksikliği olmuştur.
Lumesky, gönderisinde “Uzun bir süre tarayıcıların daha az özel bağlamlardan yerel veya dahili ağlara istekte bulunduklarında nasıl davranmaları gerektiği net değildi” ifadelerini kullandı.
Çoğu tarayıcı CORS’a (Çapraz Kaynak Paylaşımı) güvense de Lumesky, “Bu standart, bir etki alanında yüklenen istemci Web uygulamalarının farklı bir etki alanındaki kaynaklarla etkileşime girmesini sağlayan bir yol tanımlıyor. Ancak performansı yanıt içeriğine bağlı olduğundan, istekler yine de yapılabilir ve gönderilebilir” dedi.
“Bu kesinlikle yeterli değil,” diye yazdı. “Tarih, tek bir HTTP isteğinin bir ev yönlendiricisine saldırabileceğini kanıtladı ve eğer gereken tek şey buysa, her kullanıcının bu isteğin gerçekleşmesini tamamen önleyebilmesi gerekir.”
PNA Baypası
Chrome’un CORS’un ötesine geçen Özel Ağ Erişimi’ni (PNA) tanıtması, teoride web sitelerini 0.0.0.0 günlük hatadan korumalıdır. PNA, genel, özel ve yerel ağlar arasında ayrım yapmayı öneriyor ve “daha az güvenli bir bağlam altında yüklenen sayfaların daha güvenli bağlamlarla iletişim kuramayacağını” garantiliyor, diye yazdı Lumesky.
Ancak Oligo araştırmacıları, PNA altında engellenmesi gereken 0.0.0.0’a gönderilen web sitesi isteklerinin aslında yerel sunucular tarafından alındığını ve işlendiğini keşfetti. Lumesky, “Bu, genel web sitelerinin yanıtları görme olanağı olmadan ana makinenizdeki herhangi bir açık porta erişebileceği anlamına geliyor” diye yazdı.
Saldırganlar iddialarını kanıtlamak için ShadowRay’in nasıl çalıştığını araştırdılar. son saldırı kampanyası Araştırmacıları, yapay zeka iş yüklerini hedef alan bir yazılımın, saldırı vektörü olarak 0.0.0.0’ı kullanarak tarayıcıdan saldırıyı gerçekleştirebileceğini keşfetti.
ShadowRay, özel bir sunucunun istemeden İnternet’e maruz kalması durumunda keyfi kod yürütmeyi etkinleştirdi ve yaklaşık bir yıl boyunca keşfedilmedi. Oligo araştırmacıları kavramlarını kanıtlamak için localhost’ta yerel bir Ray kümesi çalıştırdı, ardından ters bir kabuk açmak için yeni bağlantıları dinleyen bir soket başlattı.
“Daha sonra kurban, istismarı çalıştıran e-postadaki bağlantıya tıklar,” diye açıkladı Lumesky. “Saldırı, saldırgan için ziyaretçinin makinesinde ters bir kabuk açar.”
Lumesky, araştırmacıların Chromium, Safari ve Firefox’ta ShadowRay’i tarayıcıdan yürütme konseptini “bu yaklaşımla etkinleştirilen şüphesiz çok sayıda uzaktan kod yürütme saldırısından biri” olarak kanıtladıklarını belirtti. Ayrıca Selenium Grid genel sunucuları ve PyTorch TorchServe aracılığıyla daha önce tanımlanmış saldırı kampanyaları SeleniumGreed ve KabukMeşalesi.
Lumeksy, araştırmacıların sonuç olarak 0.0.0.0’ı “no-cors” moduyla birlikte kullanarak saldırganların “kamu alanlarını kullanarak localhost’ta çalışan servislere saldırabileceğini ve hatta tek bir HTTP isteği kullanarak rastgele kod yürütme elde edebileceğini” gösterdiğini açıkladı.
Savunmacılar Saldırıları Nasıl Azaltabilir?
Oligo, bulgularını ilgili tarayıcı sahiplerine (Google, Apple ve Mozilla dahil) bildirdi ve bu şirketler de tarayıcılarında 0.0.0.0’ı hedef IP olarak engellemek için düzeltmeler yaptı.
Lumesky, bu arada, sorumlu şirketlerin tarayıcı teklifleri genelinde güvenlik standartlarını kolaylaştırmak için çalıştığını, ağ yöneticilerinin vektörü kullanan saldırıları engellemek için kullanabilecekleri başka teknik önlemlerin de olduğunu söyledi.
Bunlar arasında PNA başlıklarını uygulamak, localhost veya 127.0.0.1’e yönelik DNS yeniden bağlama saldırılarına karşı koruma sağlamak için ağ isteğinin HOST başlığını doğrulamak ve genel olarak localhost ağlarına sadece “yerel” oldukları için güvenmemek yer alıyor. “Localhost’ta çalışırken bile asgari bir yetkilendirme katmanı ekleyin,” diye tavsiyede bulundu.
Ağ yöneticileri mümkün olduğunca HTTP üzerinden HTTPS kullanmalı ve yerel olsalar bile uygulamalarınızda CSRF belirteçleri uygulamalıdır.