Хакеры используют 18-летний уязвимость в Firefox, Chrome и Safari

Исследователи из израильской кибербезопасной компании Oligo обнаружили критическую 18-летнюю уязвимость, которая затрагивает все основные веб-браузеры, включая Chromium от Google, Mozilla Firefox и Safari от Apple, позволяя злоумышленникам проникать в локальные сети.

Названная “0.0.0.0 Day”, эта уязвимость обходит безопасность браузеров во всех основных браузерах и взаимодействует с сервисами, работающими в локальной сети организации.

Это взаимодействие потенциально может предоставить злоумышленникам несанкционированный доступ к конфиденциальной информации и, в некоторых случаях, даже позволить им выполнять удаленный код на локальных сервисах.

Другими словами, злоумышленники могут потенциально получить доступ к файлам, сообщениям и учетным данным, манипулировать или красть данные, прерывать операции или устанавливать дополнительное вредоносное ПО, все это из-за пределов сети.

Однако следует отметить, что этот критический недостаток затрагивает только компьютеры с операционными системами Linux и macOS, но не Windows, так как Microsoft блокирует IP-адрес на уровне операционной системы.

Согласно Ави Лумельскому, исследователю безопасности ИИ в Oligo, публичные веб-сайты (например, домены, заканчивающиеся на .com) могут взаимодействовать с сервисами, работающими в локальной сети (localhost), и потенциально выполнять произвольный код на хосте посетителя, используя адрес 0.0.0.0 вместо localhost/127.0.0.1.

“Проблема возникает из-за непоследовательной реализации механизмов безопасности в различных браузерах, а также из-за отсутствия стандартизации в индустрии браузеров. В результате, казалось бы, безобидный IP-адрес 0.0.0.0 может стать мощным инструментом для злоумышленников, чтобы использовать локальные сервисы, включая те, которые используются для разработки, операционных систем и даже внутренних сетей,” - написал Лумельский в посте в блоге о безопасности.

Oligo также объясняет, что он обходит существующие механизмы защиты, такие как Cross-Origin Resource Sharing (CORS) и Private Network Access (PNA), которые не предотвращают эту опасную активность.

Исследователи безопасности Oligo наблюдали за несколькими злоумышленниками, использующими этот недостаток, включая кампании, такие как ShadowRay и SeleniumGreed.

В ShadowRay кампания активно нацеливалась на рабочие нагрузки ИИ, работающие локально на машинах разработчиков (кластеры Ray), в то время как в Selenium злоумышленники использовали публичные серверы Selenium Grid, чтобы получить первоначальный доступ к организациям, используя известные уязвимости удаленного выполнения кода (RCE).

В ответ на раскрытие Oligo разработчики веб-браузеров начинают принимать меры для блокировки доступа к 0.0.0.0 с помощью Google Chrome, Mozilla Firefox и Apple Safari:

Google Chrome: Самый популярный веб-браузер в мире решил заблокировать доступ к 0.0.0.0 (Finch Rollout), начиная с Chromium 128 через поэтапный развертывание и завершив его с Chrome 133. В этот момент IP-адрес будет полностью заблокирован для всех пользователей Chrome и Chromium.

Mozilla Firefox: Пользователям Firefox, возможно, придется подождать немного дольше для патча, так как Mozilla заявила, что блокировка 0.0.0.0 может вызвать значительные проблемы совместимости для серверов, использующих этот адрес. Поэтому она пока не ввела никаких ограничений на доступ к 0.0.0.0, но планирует сделать это в будущем.

Apple Safari: Apple планирует заблокировать все попытки веб-сайтов отправлять запросы к 0.0.0.0 с публичной бета-версией macOS Sequoia. Обновление будет поставляться с Safari 18 и ожидается, что оно будет развернуто для macOS Sonoma и macOS Ventura.

До тех пор, пока не будут выпущены исправления для браузеров, Oligo предлагает разработчикам приложений следовать следующим мерам для защиты локальных приложений:

• Реализовать заголовки PNA.

• Проверить заголовок HOST запроса, чтобы защититься от атак повторной привязки DNS к localhost или 127.0.0.1.

• Не доверять локальной сети localhost — добавить минимальный уровень авторизации, даже локально.

• Использовать HTTPS, когда это возможно.

• Реализовать токены CSRF в ваших приложениях, даже для локальных.

• Разработчики должны помнить, что браузеры действуют как шлюзы, и у них есть возможности маршрутизации к внутренним IP-адресам во многих браузерах.