Siber güvenlik araştırmacıları yeni bir “0.0.0.0 “Gün” tüm büyük web tarayıcılarını etkileyecek ve kötü amaçlı web sitelerinin yerel ağlara sızmak için yararlanabileceği bir güvenlik açığıdır.
Oligo Güvenlik araştırmacısı Avi Lumelsky, “Kritik güvenlik açığı, tarayıcıların ağ isteklerini nasıl ele aldığına ilişkin temel bir kusuru ortaya çıkarıyor ve kötü niyetli aktörlerin yerel cihazlarda çalışan hassas hizmetlere erişmesine olanak tanıyor” dedi. söz konusu.
İsrailli uygulama güvenliği şirketi, söz konusu güvenlik açığının etkilerinin çok geniş kapsamlı olduğunu, güvenlik mekanizmalarının tutarsız uygulanması ve farklı tarayıcılar arasında standartlaştırma eksikliğinden kaynaklandığını belirtti.
Sonuç olarak, 0.0.0.0 gibi görünüşte zararsız bir IP adresi, yerel hizmetleri istismar etmek için silahlandırılabilir ve bu da saldırganların ağ dışından yetkisiz erişim ve uzaktan kod yürütmesine neden olabilir. Bu açığın 2006’dan beri var olduğu söyleniyor.
0.0.0.0 Day, harici web sitelerinin MacOS ve Linux’ta yerel olarak çalışan yazılımlarla iletişim kurmasını sağlayan Google Chrome/Chromium, Mozilla Firefox ve Apple Safari’yi etkiler. Microsoft, IP adresini işletim sistemi düzeyinde engellediğinden Windows cihazlarını etkilemez.
Oligo Security, özellikle “.com” ile biten alan adlarını kullanan genel web sitelerinin, yerel ağda çalışan servislerle iletişim kurabildiğini ve ziyaretçinin ana bilgisayarında localhost/127.0.0.1 adresini kullanmak yerine 0.0.0.0 adresini kullanarak rastgele kod çalıştırabildiğini tespit etti.
Ayrıca Özel Ağ Erişiminin (PNA), özel ağlar içerisinde bulunan uç noktalara doğrudan erişimin kamuya açık web siteleri tarafından engellenmesini amaçlayan bir güvenlik önlemidir.
Yerel bilgisayarda çalışan ve 0.0.0.0 üzerinden erişilebilen herhangi bir uygulama, 0.0.0’a bir POST isteği göndererek yerel Selenium Grid örnekleri de dahil olmak üzere uzaktan kod yürütülmesine karşı muhtemelen hassastır.[.]0:4444 hazırlanmış bir yük ile.
Nisan 2024’teki bulgulara yanıt olarak, web tarayıcılarının 0.0.0.0’a erişimi tamamen engellemesi ve böylece genel web sitelerinden özel ağ uç noktalarına doğrudan erişimi devre dışı bırakması bekleniyor.
Lumelsky, “Hizmetler localhost kullandığında, kısıtlı bir ortam varsayarlar,” dedi. “Bu varsayım, (bu güvenlik açığı durumunda olduğu gibi) hatalı olabilir ve güvenli olmayan sunucu uygulamalarıyla sonuçlanır.”
“0.0.0.0’ı ‘no-cors’ moduyla birlikte kullanarak, saldırganlar genel etki alanlarını kullanarak localhost’ta çalışan servislere saldırabilir ve hatta tek bir HTTP isteği kullanarak rastgele kod yürütme (RCE) elde edebilirler.”
