Les chercheurs en cybersécurité ont découvert un nouveau «0.0.0.0 Journée » impactant tous les principaux navigateurs Web dont les sites Web malveillants pourraient profiter pour pénétrer les réseaux locaux.
Cette vulnérabilité critique « révèle une faille fondamentale dans la manière dont les navigateurs gèrent les requêtes réseau, ce qui permet potentiellement à des acteurs malveillants d’accéder à des services sensibles exécutés sur des appareils locaux », a déclaré Avi Lumelsky, chercheur en sécurité chez Oligo Security. dit.
La société israélienne de sécurité des applications a déclaré que les implications de la vulnérabilité sont de grande portée et qu’elle résulte d’une mise en œuvre incohérente des mécanismes de sécurité et d’un manque de normalisation entre les différents navigateurs.
Ainsi, une adresse IP apparemment inoffensive comme 0.0.0.0 pourrait être utilisée comme arme pour exploiter des services locaux, ce qui entraînerait un accès non autorisé et l’exécution de code à distance par des attaquants extérieurs au réseau. Cette faille existerait depuis 2006.
La faille 0.0.0.0 Day a un impact sur Google Chrome/Chromium, Mozilla Firefox et Apple Safari, car elle permet aux sites Web externes de communiquer avec des logiciels exécutés localement sur MacOS et Linux. Elle n’affecte pas les appareils Windows, car Microsoft bloque l’adresse IP au niveau du système d’exploitation.
En particulier, Oligo Security a constaté que les sites Web publics utilisant des domaines se terminant par « .com » sont capables de communiquer avec des services exécutés sur le réseau local et d’exécuter du code arbitraire sur l’hôte du visiteur en utilisant l’adresse 0.0.0.0 par opposition à localhost/127.0.0.1.
Il s’agit également d’un contournement de l’accès au réseau privé (PNA), qui vise à interdire aux sites Web publics d’accéder directement aux points de terminaison situés dans les réseaux privés.
Toute application qui s’exécute sur localhost et qui est accessible via 0.0.0.0 est susceptible d’être exécutée à distance, y compris les instances Selenium Grid locales en envoyant une requête POST à 0.0.0[.]0:4444 avec une charge utile fabriquée.
En réponse aux conclusions d’avril 2024, les navigateurs Web devraient bloquer complètement l’accès à 0.0.0.0, supprimant ainsi l’accès direct aux points de terminaison des réseaux privés à partir des sites Web publics.
« Lorsque les services utilisent localhost, ils supposent un environnement contraint », a déclaré Lumelsky. « Cette hypothèse, qui peut (comme dans le cas de cette vulnérabilité) être erronée, entraîne des implémentations de serveur non sécurisées. »
« En utilisant 0.0.0.0 avec le mode « no-cors », les attaquants peuvent utiliser des domaines publics pour attaquer des services exécutés sur localhost et même obtenir l’exécution de code arbitraire (RCE), le tout en utilisant une seule requête HTTP. »