Gli hacker sfruttano una vulnerabilità di sicurezza di 18 anni in Firefox, Chrome e Safari

I ricercatori della società di cybersecurity israeliana Oligo hanno scoperto una vulnerabilità critica di 18 anni che colpisce tutti i principali browser web, inclusi Chromium di Google, Mozilla Firefox e Safari di Apple, consentendo agli attaccanti di violare le reti locali.

Denominata “0.0.0.0 Day”, questa vulnerabilità bypassa la sicurezza del browser in tutti i principali browser e interagisce con i servizi in esecuzione sulla rete locale di un’organizzazione.

Questa interazione può potenzialmente concedere agli attori della minaccia accesso non autorizzato a informazioni sensibili e, in alcuni casi, persino consentire loro di eseguire codice remoto su servizi locali.

In altre parole, gli attaccanti potrebbero potenzialmente accedere a file, messaggi e credenziali, manipolare o rubare dati, interrompere operazioni o installare ulteriore software dannoso, tutto da fuori rete.

Tuttavia, va notato che questa vulnerabilità critica colpisce solo i computer che eseguono Linux e macOS, e non Windows, poiché Microsoft blocca l’indirizzo IP a livello di sistema operativo.

Secondo Avi Lumelsky, ricercatore di sicurezza AI presso Oligo, i siti web pubblici (come i domini che terminano in .com) sono in grado di comunicare con i servizi in esecuzione sulla rete locale (localhost) e potenzialmente eseguire codice arbitrario sull’host del visitatore utilizzando l’indirizzo 0.0.0.0 invece di localhost/127.0.0.1.

“Il problema deriva dall’implementazione incoerente dei meccanismi di sicurezza tra i diversi browser, insieme a una mancanza di standardizzazione nell’industria dei browser. Di conseguenza, l’indirizzo IP apparentemente innocuo, 0.0.0.0, può diventare uno strumento potente per gli attaccanti per sfruttare i servizi locali, inclusi quelli utilizzati per lo sviluppo, i sistemi operativi e persino le reti interne,” ha scritto Lumelsky in un post sul blog di sicurezza.

Oligo spiega anche che bypassa i meccanismi di protezione esistenti come il Cross-Origin Resource Sharing (CORS) e il Private Network Access (PNA), che non riescono a prevenire questa attività pericolosa.

I ricercatori di sicurezza di Oligo hanno osservato diversi attori della minaccia che sfruttano questa vulnerabilità, inclusi attacchi di campagna come ShadowRay e SeleniumGreed.

In ShadowRay, la campagna ha attivamente preso di mira i carichi di lavoro AI in esecuzione localmente sulle macchine degli sviluppatori (cluster Ray), mentre in Selenium, gli attori della minaccia hanno sfruttato i server pubblici di Selenium Grid per ottenere accesso iniziale alle organizzazioni, utilizzando vulnerabilità note di Remote Code Execution (RCE).

In risposta alla divulgazione di Oligo, gli sviluppatori dei browser web stanno iniziando a prendere provvedimenti per bloccare l’accesso a 0.0.0.0 con Google Chrome, Mozilla Firefox e Apple Safari:

Google Chrome: Il browser web più popolare al mondo ha deciso di bloccare l’accesso a 0.0.0.0 (Finch Rollout), a partire da Chromium 128 tramite un rollout graduale e completandolo con Chrome 133. A quel punto, l’indirizzo IP sarà completamente bloccato per tutti gli utenti di Chrome e Chromium.

Mozilla Firefox: Gli utenti di Firefox potrebbero dover aspettare un po’ più a lungo per la patch, poiché Mozilla ha dichiarato che il blocco di 0.0.0.0 potrebbe causare problemi di compatibilità significativi per i server che utilizzano quell’indirizzo. Pertanto, non ha ancora imposto restrizioni sull’accesso a 0.0.0.0, ma ha piani per farlo in futuro.

Apple Safari: Apple prevede di bloccare tutti i tentativi da parte dei siti web di inviare query a 0.0.0.0 con la versione beta pubblica di macOS Sequoia. L’aggiornamento sarà fornito con Safari 18 ed è previsto che venga distribuito a macOS Sonoma e macOS Ventura.

Fino all’arrivo delle correzioni del browser, Oligo suggerisce che gli sviluppatori di app seguano le seguenti misure per proteggere le applicazioni locali:

• Implementare intestazioni PNA.
• Verificare l’intestazione HOST della richiesta per proteggere contro attacchi di DNS rebinding a localhost o 127.0.0.1.
• Non fidarsi della rete localhost: aggiungere un minimo livello di autorizzazione, anche localmente.
• Utilizzare HTTPS quando possibile.
• Implementare token CSRF nelle proprie applicazioni, anche per quelle locali.
• Gli sviluppatori devono ricordare che i browser fungono da gateway e hanno capacità di routing verso spazi di indirizzi IP interni in molti browser.