Los hackers explotan una vulnerabilidad de seguridad de 18 años en Firefox, Chrome y Safari

Los investigadores de la firma de ciberseguridad con sede en Israel, Oligo, han descubierto una vulnerabilidad crítica de 18 años que afecta a todos los navegadores web principales, incluidos Chromium de Google, Firefox de Mozilla y Safari de Apple, permitiendo a los atacantes vulnerar redes locales.

Apodada “0.0.0.0 Day”, esta vulnerabilidad elude la seguridad del navegador en todos los navegadores principales e interactúa con los servicios que se ejecutan en la red local de una organización.

Esta interacción puede otorgar potencialmente a los actores de amenazas acceso no autorizado a información sensible y, en algunos casos, incluso permitirles ejecutar código remoto en servicios locales.

En otras palabras, los atacantes podrían potencialmente acceder a archivos, mensajes y credenciales, manipular o robar datos, interrumpir operaciones o instalar software malicioso adicional, todo desde fuera de la red.

Sin embargo, cabe señalar que esta falla crítica solo afecta a computadoras que ejecutan Linux y macOS, y no a Windows, ya que Microsoft bloquea la dirección IP a nivel del sistema operativo.

Según Avi Lumelsky, un investigador de seguridad de IA en Oligo, los sitios web públicos (como los dominios que terminan en .com) pueden comunicarse con los servicios que se ejecutan en la red local (localhost) y potencialmente ejecutar código arbitrario en el host del visitante utilizando la dirección 0.0.0.0 en lugar de localhost/127.0.0.1.

“El problema surge de la implementación inconsistente de mecanismos de seguridad en diferentes navegadores, junto con una falta de estandarización en la industria de los navegadores. Como resultado, la aparentemente inocua dirección IP, 0.0.0.0, puede convertirse en una herramienta poderosa para que los atacantes exploten servicios locales, incluidos aquellos utilizados para el desarrollo, sistemas operativos e incluso redes internas”, escribió Lumelsky en una publicación de blog sobre seguridad.

Oligo también explica que elude los mecanismos de protección existentes como el Compartición de Recursos de Origen Cruzado (CORS) y el Acceso a Redes Privadas (PNA), que no logran prevenir esta actividad peligrosa.

Los investigadores de seguridad de Oligo han observado múltiples actores de amenazas explotando esta falla, incluidos ataques de campaña como ShadowRay y SeleniumGreed.

En ShadowRay, la campaña apuntó activamente a cargas de trabajo de IA que se ejecutaban localmente en las máquinas de los desarrolladores (clústeres Ray), mientras que en Selenium, los actores de amenazas aprovecharon servidores públicos de Selenium Grid para obtener acceso inicial a las organizaciones, utilizando vulnerabilidades conocidas de Ejecución Remota de Código (RCE).

En respuesta a la divulgación de Oligo, los desarrolladores de navegadores web están comenzando a tomar medidas para bloquear el acceso a 0.0.0.0 con Google Chrome, Mozilla Firefox y Apple Safari:

Google Chrome: El navegador web más popular del mundo ha decidido bloquear el acceso a 0.0.0.0 (Finch Rollout), comenzando con Chromium 128 a través de un despliegue gradual y completándolo con Chrome 133. En ese momento, la dirección IP será bloqueada completamente para todos los usuarios de Chrome y Chromium.

Mozilla Firefox: Los usuarios de Firefox podrían tener que esperar un poco más para el parche, ya que Mozilla declaró que bloquear 0.0.0.0 podría causar problemas de compatibilidad significativos para los servidores que utilizan esa dirección. Por lo tanto, aún no ha impuesto restricciones sobre el acceso a 0.0.0.0, pero tiene planes de hacerlo en el futuro.

Apple Safari: Apple planea bloquear todos los intentos de sitios web para enviar consultas a 0.0.0.0 con la versión beta pública de macOS Sequoia. La actualización se enviará con Safari 18 y se espera que se implemente en macOS Sonoma y macOS Ventura.

Hasta que lleguen las correcciones de los navegadores, Oligo sugiere que los desarrolladores de aplicaciones sigan las siguientes medidas para proteger las aplicaciones locales:

• Implementar encabezados PNA.
• Verificar el encabezado HOST de la solicitud para protegerse contra ataques de rebinding de DNS a localhost o 127.0.0.1.
• No confiar en la red localhost: añadir una capa mínima de autorización, incluso localmente.
• Usar HTTPS cuando sea posible.
• Implementar tokens CSRF en sus aplicaciones, incluso en las locales.
• Los desarrolladores deben recordar que los navegadores actúan como puertas de enlace y tienen capacidades de enrutamiento a espacios de direcciones IP internas en muchos navegadores.