Hackers Exploram Falha de Segurança de 18 Anos no Firefox, Chrome e Safari

Pesquisadores da empresa de cibersegurança Oligo, com sede em Israel, descobriram uma vulnerabilidade crítica de 18 anos que afeta todos os principais navegadores da web, incluindo o Chromium do Google, o Mozilla Firefox e o Safari da Apple, permitindo que atacantes invadam redes locais.

Batizada de “0.0.0.0 Day”, essa vulnerabilidade contorna a segurança do navegador em todos os principais navegadores e interage com serviços que estão rodando na rede local de uma organização.

Essa interação pode potencialmente conceder a atores de ameaças acesso não autorizado a informações sensíveis e, em alguns casos, até permitir que eles executem código remoto em serviços locais.

Em outras palavras, os atacantes poderiam potencialmente acessar arquivos, mensagens e credenciais, manipular ou roubar dados, interromper operações ou instalar mais software malicioso, tudo a partir de fora da rede.

No entanto, deve-se notar que essa falha crítica afeta apenas computadores que executam Linux e macOS, e não o Windows, já que a Microsoft bloqueia o endereço IP no nível do sistema operacional.

De acordo com Avi Lumelsky, um pesquisador de segurança em IA da Oligo, sites públicos (como domínios terminando em .com) conseguem se comunicar com serviços que estão rodando na rede local (localhost) e potencialmente executar código arbitrário no host do visitante usando o endereço 0.0.0.0 em vez de localhost/127.0.0.1.

“O problema decorre da implementação inconsistente de mecanismos de segurança em diferentes navegadores, juntamente com a falta de padronização na indústria de navegadores. Como resultado, o endereço IP aparentemente inócuo, 0.0.0.0, pode se tornar uma ferramenta poderosa para atacantes explorarem serviços locais, incluindo aqueles usados para desenvolvimento, sistemas operacionais e até redes internas”, escreveu Lumelsky em um post de blog sobre segurança.

A Oligo também explica que contorna mecanismos de proteção existentes, como o Cross-Origin Resource Sharing (CORS) e o Private Network Access (PNA), que falham em prevenir essa atividade perigosa.

Pesquisadores de segurança da Oligo observaram múltiplos atores de ameaças explorando essa falha, incluindo ataques de campanha como ShadowRay e SeleniumGreed.

No ShadowRay, a campanha visava ativamente cargas de trabalho de IA rodando localmente nas máquinas dos desenvolvedores (clusters Ray), enquanto no Selenium, os atores de ameaça aproveitaram servidores públicos do Selenium Grid para obter acesso inicial a organizações, usando vulnerabilidades conhecidas de Execução Remota de Código (RCE).

Em resposta à divulgação da Oligo, os desenvolvedores de navegadores da web estão começando a tomar medidas para bloquear o acesso a 0.0.0.0 com o Google Chrome, Mozilla Firefox e Apple Safari:

Google Chrome: O navegador da web mais popular do mundo decidiu bloquear o acesso a 0.0.0.0 (Finch Rollout), começando com o Chromium 128 através de um lançamento gradual e completando com o Chrome 133. Nesse ponto, o endereço IP será completamente bloqueado para todos os usuários do Chrome e Chromium.

Mozilla Firefox: Os usuários do Firefox podem ter que esperar um pouco mais pela correção, já que a Mozilla afirmou que bloquear 0.0.0.0 poderia causar problemas de compatibilidade significativos para servidores que usam esse endereço. Portanto, ainda não impôs restrições ao acesso a 0.0.0.0, mas planeja fazê-lo no futuro.

Apple Safari: A Apple planeja bloquear todas as tentativas de sites de enviar consultas para 0.0.0.0 com a versão beta pública do macOS Sequoia. A atualização será enviada com o Safari 18 e deve ser lançada para macOS Sonoma e macOS Ventura.

Até que as correções dos navegadores cheguem, a Oligo sugere que os desenvolvedores de aplicativos sigam as medidas abaixo para proteger aplicações locais:

• Implementar cabeçalhos PNA.
• Verificar o cabeçalho HOST da solicitação para proteger contra ataques de reatribuição de DNS para localhost ou 127.0.0.1.
• Não confiar na rede localhost — adicionar uma camada mínima de autorização, mesmo localmente.
• Usar HTTPS sempre que possível.
• Implementar tokens CSRF em suas aplicações, mesmo nas locais.
• Os desenvolvedores devem lembrar que os navegadores atuam como gateways e têm capacidades de roteamento para espaços de endereços IP internos em muitos navegadores.