Los investigadores de ciberseguridad han descubierto un nuevo “0.0.0.0<\/a> “Day” afecta a los principales navegadores web y los sitios web maliciosos podr\u00edan aprovecharse para vulnerar las redes locales.<\/p>\n La vulnerabilidad cr\u00edtica “expone una falla fundamental en la forma en que los navegadores manejan las solicitudes de red, lo que potencialmente otorga a actores maliciosos acceso a servicios sensibles que se ejecutan en dispositivos locales”, dijo el investigador de Oligo Security, Avi Lumelsky. dicho<\/a>.<\/p>\n La compa\u00f1\u00eda israel\u00ed de seguridad de aplicaciones dijo que las implicaciones de la vulnerabilidad son de largo alcance y que se deben a la implementaci\u00f3n inconsistente de los mecanismos de seguridad y a la falta de estandarizaci\u00f3n en los diferentes navegadores.<\/p>\n Como resultado, una direcci\u00f3n IP aparentemente inofensiva como 0.0.0.0 podr\u00eda ser utilizada como arma para explotar servicios locales, lo que dar\u00eda lugar a acceso no autorizado y ejecuci\u00f3n remota de c\u00f3digo por parte de atacantes fuera de la red. Se dice que la laguna legal existe desde 2006.<\/p>\n La versi\u00f3n 0.0.0.0 afecta a Google Chrome\/Chromium, Mozilla Firefox y Apple Safari, lo que permite que los sitios web externos se comuniquen con el software que se ejecuta localmente en MacOS y Linux. No afecta a los dispositivos Windows, ya que Microsoft bloquea la direcci\u00f3n IP a nivel del sistema operativo.<\/p>\n En particular, Oligo Security descubri\u00f3 que los sitios web p\u00fablicos que usan dominios que terminan en “.com” pueden comunicarse con servicios que se ejecutan en la red local y ejecutar c\u00f3digo arbitrario en el host del visitante utilizando la direcci\u00f3n 0.0.0.0 en lugar de localhost\/127.0.0.1.<\/p>\n Tambi\u00e9n es una forma de evitar el acceso a la red privada (ANP<\/a>), que est\u00e1 dise\u00f1ado para prohibir que los sitios web p\u00fablicos accedan directamente a puntos finales ubicados dentro de redes privadas.<\/p>\n Cualquier aplicaci\u00f3n que se ejecute en el host local y a la que se pueda acceder a trav\u00e9s de 0.0.0.0 probablemente sea susceptible a la ejecuci\u00f3n remota de c\u00f3digo, incluidas las instancias locales de Selenium Grid al enviar una solicitud POST a 0.0.0.[.]0:4444 con una carga \u00fatil elaborada.<\/p>\n En respuesta a los hallazgos de abril de 2024, se espera que los navegadores web bloqueen por completo el acceso a 0.0.0.0, eliminando as\u00ed el acceso directo a los puntos finales de la red privada desde sitios web p\u00fablicos.<\/p>\n “Cuando los servicios utilizan el host local, asumen un entorno restringido”, dijo Lumelsky. “Esta suposici\u00f3n, que puede (como en el caso de esta vulnerabilidad) ser err\u00f3nea, da como resultado implementaciones de servidores inseguras”.<\/p>\n “Al utilizar 0.0.0.0 junto con el modo ‘no-cors’, los atacantes pueden usar dominios p\u00fablicos para atacar servicios que se ejecutan en el host local e incluso obtener ejecuci\u00f3n de c\u00f3digo arbitrario (RCE), todo mediante una \u00fanica solicitud HTTP”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/0000-Dia-Una-vulnerabilidad-de-navegador-de-hace-18-anos.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n