Des hackers exploitent une vulnérabilité de sécurité vieille de 18 ans dans Firefox, Chrome et Safari

Des chercheurs de la société de cybersécurité israélienne Oligo ont découvert une vulnérabilité critique vieille de 18 ans qui affecte tous les principaux navigateurs web, y compris Chromium de Google, Firefox de Mozilla et Safari d’Apple, permettant aux attaquants de pénétrer dans les réseaux locaux.

Baptisée « 0.0.0.0 Day », cette vulnérabilité contourne la sécurité des navigateurs dans tous les principaux navigateurs et interagit avec les services fonctionnant sur le réseau local d’une organisation.

Cette interaction peut potentiellement accorder aux acteurs malveillants un accès non autorisé à des informations sensibles et, dans certains cas, leur permettre même d’exécuter du code à distance sur des services locaux.

En d’autres termes, les attaquants pourraient potentiellement accéder à des fichiers, des messages et des identifiants, manipuler ou voler des données, interrompre des opérations ou installer d’autres logiciels malveillants, le tout depuis l’extérieur du réseau.

Cependant, il convient de noter que cette faille critique n’affecte que les ordinateurs fonctionnant sous Linux et macOS, et non Windows, car Microsoft bloque l’adresse IP au niveau du système d’exploitation.

Selon Avi Lumelsky, chercheur en sécurité IA chez Oligo, les sites web publics (comme les domaines se terminant par .com) peuvent communiquer avec des services fonctionnant sur le réseau local (localhost) et potentiellement exécuter du code arbitraire sur l’hôte du visiteur en utilisant l’adresse 0.0.0.0 au lieu de localhost/127.0.0.1.

« Le problème provient de l’implémentation incohérente des mécanismes de sécurité à travers différents navigateurs, ainsi que d’un manque de normalisation dans l’industrie des navigateurs. En conséquence, l’adresse IP apparemment inoffensive, 0.0.0.0, peut devenir un outil puissant pour les attaquants afin d’exploiter des services locaux, y compris ceux utilisés pour le développement, les systèmes d’exploitation et même les réseaux internes », a écrit Lumelsky dans un article de blog sur la sécurité.

Oligo explique également qu’il contourne les mécanismes de protection existants tels que le partage de ressources entre origines (CORS) et l’accès aux réseaux privés (PNA), qui échouent à prévenir cette activité dangereuse.

Les chercheurs en sécurité d’Oligo ont observé plusieurs acteurs malveillants exploitant cette faille, y compris des attaques de campagne telles que ShadowRay et SeleniumGreed.

Dans ShadowRay, la campagne ciblait activement les charges de travail IA fonctionnant localement sur les machines des développeurs (clusters Ray), tandis que dans Selenium, les acteurs malveillants ont exploité des serveurs publics Selenium Grid pour obtenir un accès initial aux organisations, en utilisant des vulnérabilités connues d’exécution de code à distance (RCE).

En réponse à la divulgation d’Oligo, les développeurs de navigateurs web commencent à prendre des mesures pour bloquer l’accès à 0.0.0.0 avec Google Chrome, Mozilla Firefox et Apple Safari :

Google Chrome : Le navigateur web le plus populaire au monde a décidé de bloquer l’accès à 0.0.0.0 (Finch Rollout), à partir de Chromium 128 via un déploiement progressif et en le complétant avec Chrome 133. À ce moment-là, l’adresse IP sera complètement bloquée pour tous les utilisateurs de Chrome et Chromium.

Mozilla Firefox : Les utilisateurs de Firefox pourraient devoir attendre un peu plus longtemps pour le correctif, car Mozilla a déclaré que le blocage de 0.0.0.0 pourrait causer des problèmes de compatibilité significatifs pour les serveurs utilisant cette adresse. Par conséquent, il n’a pas encore imposé de restrictions sur l’accès à 0.0.0.0 mais prévoit de le faire à l’avenir.

Apple Safari : Apple prévoit de bloquer toutes les tentatives des sites web d’envoyer des requêtes à 0.0.0.0 avec la version bêta publique de macOS Sequoia. La mise à jour sera expédiée avec Safari 18 et devrait être déployée sur macOS Sonoma et macOS Ventura.

Jusqu’à ce que les correctifs des navigateurs arrivent, Oligo suggère que les développeurs d’applications suivent les mesures ci-dessous pour protéger les applications locales :

• Implémenter des en-têtes PNA.

• Vérifier l’en-tête HOST de la requête pour se protéger contre les attaques de rebinding DNS vers localhost ou 127.0.0.1.

• Ne pas faire confiance au réseau localhost — ajouter un minimum de couche d’autorisation, même localement.

• Utiliser HTTPS lorsque cela est possible.

• Implémenter des jetons CSRF dans vos applications, même pour les locales.

• Les développeurs doivent se rappeler que les navigateurs agissent comme des passerelles, et qu’ils ont des capacités de routage vers des espaces d’adresses IP internes dans de nombreux navigateurs.