Hacker nutzen 18 Jahre alte Sicherheitsanfälligkeit in Firefox, Chrome und Safari aus

Forscher des israelischen Cybersicherheitsunternehmens Oligo haben eine kritische 18 Jahre alte Schwachstelle entdeckt, die alle gängigen Webbrowser betrifft, einschließlich Googles Chromium, Mozilla Firefox und Apples Safari, und es Angreifern ermöglicht, lokale Netzwerke zu durchdringen.

Diese Schwachstelle, die als „0.0.0.0 Day“ bezeichnet wird, umgeht die Browsersicherheit in allen wichtigen Browsern und interagiert mit Diensten, die im lokalen Netzwerk einer Organisation ausgeführt werden.

Diese Interaktion kann potenziell Bedrohungsakteuren unbefugten Zugriff auf sensible Informationen gewähren und in einigen Fällen sogar die Ausführung von Remote-Code auf lokalen Diensten ermöglichen.

Mit anderen Worten, die Angreifer könnten potenziell auf Dateien, Nachrichten und Anmeldeinformationen zugreifen, Daten manipulieren oder stehlen, den Betrieb unterbrechen oder weitere bösartige Software installieren, und das alles von außerhalb des Netzwerks.

Es sollte jedoch angemerkt werden, dass dieser kritische Fehler nur Computer betrifft, die Linux und macOS ausführen, und nicht Windows, da Microsoft die IP-Adresse auf Betriebssystemebene blockiert.

Laut Avi Lumelsky, einem KI-Sicherheitsforscher bei Oligo, können öffentliche Websites (wie Domains, die auf .com enden) mit Diensten im lokalen Netzwerk (localhost) kommunizieren und potenziell beliebigen Code auf dem Host des Besuchers ausführen, indem sie die Adresse 0.0.0.0 anstelle von localhost/127.0.0.1 verwenden.

„Das Problem ergibt sich aus der inkonsistenten Implementierung von Sicherheitsmechanismen in verschiedenen Browsern sowie aus einem Mangel an Standardisierung in der Browserindustrie. Infolgedessen kann die scheinbar harmlose IP-Adresse 0.0.0.0 ein mächtiges Werkzeug für Angreifer werden, um lokale Dienste auszunutzen, einschließlich derjenigen, die für die Entwicklung, Betriebssysteme und sogar interne Netzwerke verwendet werden“, schrieb Lumelsky in einem Sicherheitsblog.

Oligo erklärt auch, dass es bestehende Schutzmechanismen wie Cross-Origin Resource Sharing (CORS) und Private Network Access (PNA) umgeht, die es versäumen, diese gefährliche Aktivität zu verhindern.

Die Sicherheitsforscher von Oligo haben mehrere Bedrohungsakteure beobachtet, die diese Schwachstelle ausnutzen, einschließlich Kampagnenangriffe wie ShadowRay und SeleniumGreed.

In ShadowRay zielte die Kampagne aktiv auf KI-Arbeitslasten ab, die lokal auf den Maschinen von Entwicklern (Ray-Cluster) ausgeführt wurden, während die Bedrohungsakteure in Selenium öffentliche Server von Selenium Grid nutzten, um ersten Zugriff auf Organisationen zu erhalten, indem sie bekannte Remote Code Execution (RCE)-Schwachstellen ausnutzten.

Als Reaktion auf die Offenlegung von Oligo beginnen die Entwickler von Webbrowsern, Maßnahmen zu ergreifen, um den Zugriff auf 0.0.0.0 mit Google Chrome, Mozilla Firefox und Apple Safari zu blockieren:

Google Chrome: Der weltweit beliebteste Webbrowser hat beschlossen, den Zugriff auf 0.0.0.0 (Finch Rollout) zu blockieren, beginnend mit Chromium 128 über einen schrittweisen Rollout und abschließend mit Chrome 133. Zu diesem Zeitpunkt wird die IP-Adresse vollständig für alle Chrome- und Chromium-Nutzer blockiert.

Mozilla Firefox: Firefox-Nutzer müssen möglicherweise etwas länger auf den Patch warten, da Mozilla erklärte, dass das Blockieren von 0.0.0.0 erhebliche Kompatibilitätsprobleme für Server, die diese Adresse verwenden, verursachen könnte. Daher wurden bisher keine Einschränkungen für den Zugriff auf 0.0.0.0 auferlegt, aber es gibt Pläne, dies in Zukunft zu tun.

Apple Safari: Apple plant, alle Versuche von Websites zu blockieren, Anfragen an 0.0.0.0 zu senden, mit der öffentlichen Beta-Version von macOS Sequoia. Das Update wird mit Safari 18 ausgeliefert und soll auf macOS Sonoma und macOS Ventura ausgerollt werden.

Bis die Browserfixes eintreffen, empfiehlt Oligo, dass App-Entwickler die folgenden Maßnahmen ergreifen, um lokale Anwendungen zu schützen:

• Implementieren Sie PNA-Header.

• Überprüfen Sie den HOST-Header der Anfrage, um sich gegen DNS-Rebinding-Angriffe auf localhost oder 127.0.0.1 zu schützen.

• Vertrauen Sie dem localhost-Netzwerk nicht – fügen Sie eine minimale Autorisierungsebene hinzu, auch lokal.

• Verwenden Sie HTTPS, wenn möglich.

• Implementieren Sie CSRF-Token in Ihren Anwendungen, auch für lokale.

• Entwickler müssen sich daran erinnern, dass Browser als Gateways fungieren und in vielen Browsern Routing-Funktionen zu internen IP-Adressräumen haben.