Los investigadores de ciberseguridad han descubierto un nuevo «0.0.0.0 «Day» afecta a los principales navegadores web y los sitios web maliciosos podrían aprovecharse para vulnerar las redes locales.
La vulnerabilidad crítica «expone una falla fundamental en la forma en que los navegadores manejan las solicitudes de red, lo que potencialmente otorga a actores maliciosos acceso a servicios sensibles que se ejecutan en dispositivos locales», dijo el investigador de Oligo Security, Avi Lumelsky. dicho.
La compañía israelí de seguridad de aplicaciones dijo que las implicaciones de la vulnerabilidad son de largo alcance y que se deben a la implementación inconsistente de los mecanismos de seguridad y a la falta de estandarización en los diferentes navegadores.
Como resultado, una dirección IP aparentemente inofensiva como 0.0.0.0 podría ser utilizada como arma para explotar servicios locales, lo que daría lugar a acceso no autorizado y ejecución remota de código por parte de atacantes fuera de la red. Se dice que la laguna legal existe desde 2006.
La versión 0.0.0.0 afecta a Google Chrome/Chromium, Mozilla Firefox y Apple Safari, lo que permite que los sitios web externos se comuniquen con el software que se ejecuta localmente en MacOS y Linux. No afecta a los dispositivos Windows, ya que Microsoft bloquea la dirección IP a nivel del sistema operativo.
En particular, Oligo Security descubrió que los sitios web públicos que usan dominios que terminan en «.com» pueden comunicarse con servicios que se ejecutan en la red local y ejecutar código arbitrario en el host del visitante utilizando la dirección 0.0.0.0 en lugar de localhost/127.0.0.1.
También es una forma de evitar el acceso a la red privada (ANP), que está diseñado para prohibir que los sitios web públicos accedan directamente a puntos finales ubicados dentro de redes privadas.
Cualquier aplicación que se ejecute en el host local y a la que se pueda acceder a través de 0.0.0.0 probablemente sea susceptible a la ejecución remota de código, incluidas las instancias locales de Selenium Grid al enviar una solicitud POST a 0.0.0.[.]0:4444 con una carga útil elaborada.
En respuesta a los hallazgos de abril de 2024, se espera que los navegadores web bloqueen por completo el acceso a 0.0.0.0, eliminando así el acceso directo a los puntos finales de la red privada desde sitios web públicos.
«Cuando los servicios utilizan el host local, asumen un entorno restringido», dijo Lumelsky. «Esta suposición, que puede (como en el caso de esta vulnerabilidad) ser errónea, da como resultado implementaciones de servidores inseguras».
«Al utilizar 0.0.0.0 junto con el modo ‘no-cors’, los atacantes pueden usar dominios públicos para atacar servicios que se ejecutan en el host local e incluso obtener ejecución de código arbitrario (RCE), todo mediante una única solicitud HTTP».