Madryt (Portaltic/EP) – Badacze zajmujący się cyberbezpieczeństwem odkryli niedawno lukę 0.0.0.0-day, która umożliwiła cyberprzestępcom dostęp do przeglądarek Safari, Chromium i Firefox za pośrednictwem sieci lokalnej różnych organizacji i komputerów osobistych.
Zespół Oligo Security odkrył tę lukę dnia zerowego w głównych przeglądarkach, która umożliwia zewnętrznym witrynom internetowym komunikację i eksplorację systemu działającego w systemach MacOS i Linux. Oznacza to, iż system Windows będzie zwolniony z tego problemu.
Powiązane wiadomościJak wynika z oświadczenia na ich blogu, specjaliści wskazali, iż wpływ tej luki, znanej jako 0.0.0.0 Day, jest „dalekosiężny” i dotyka indywidualnych użytkowników, organizacje i firmy.
Luka ta, której pierwsze oznaki zgłoszono w 2006 roku, pozostawia cyberprzestępcom otwarte drzwi do dostępu do poufnych usług działających na urządzeniach lokalnych za pośrednictwem przeglądarek internetowych Chromium (Google), Firefox (Mozilla) i Safari (Apple).
W szczególności problem wynika z pozornie nieszkodliwego adresu IP 0.0.0.0, który „może stać się narzędziem” dla złośliwych podmiotów w celu wykorzystania usług lokalnych i wykonania złośliwego kodu.
Dzieje się tak, ponieważ publiczne witryny internetowe (takie jak te oferujące domenę .com) mogą łączyć się z usługami działającymi w sieci lokalnej (localhost) komputerów docelowych i potencjalnie wykonywać dowolny kod na „hoście” użytkownika przy użyciu adresu 0.0.0.0.
Badacze podkreślili również, iż użytkownik zgłosił błąd firmie Mozilla w 2006 roku, twierdząc, iż witryny publiczne zaatakowały jego router w sieci wewnętrznej, w czasie, gdy „sieci wewnętrzne i ogólnie Internet były z założenia niepewne”.
W tamtym czasie wiele usług nie posiadało uwierzytelnienia, a certyfikaty bezpieczeństwa SSL i HTTPS nie były rozpowszechnione na wszystkich stronach internetowych, dlatego wiele z nich było ładowanych przez niepewny adres HTTP.
Chociaż zgłoszono ten błąd, w ciągu 18 lat od tego czasu do chwili obecnej „ten problem został zamknięty, ponownie otwarty i ponownie przypisano mu priorytet jako poważny i krytyczny”, ale nie podjęto żadnych działań, aby go rozwiązać.
Podjęto środki
Oligo Security zauważyło, iż po „odpowiedzialnym” ujawnieniu luki udostępniono dokumenty z prośbą o komentarz (RFC), a niektóre przeglądarki „wkrótce całkowicie zablokują dostęp do wersji 0.0.0.0”.
W rzeczywistości Apple potwierdził Forbesowi, iż wprowadza szereg zmian w wersji beta swojego najnowszego systemu operacyjnego, macOS Sequoia, aby rozwiązać problem.
Jednak firma zajmująca się cyberbezpieczeństwem ostrzegła, iż Apple wprowadził „znaczące zmiany w WebKit”, aby uniemożliwić dostęp do wersji 0.0.0.0, i dodała znacznik wyboru do adresu IP docelowego „hosta”. W ten sposób w momencie ustalenia, iż żądanie ma same zera, zostaje zablokowane.
Chrome ze swojej strony udostępnił swoją witrynę, zauważając, iż „usuwa bezpośredni dostęp do punktów końcowych sieci prywatnej z publicznych witryn internetowych w ramach specyfikacji dostępu do sieci prywatnej (PNA)”.
Robi to począwszy od Chromium 128, a zmiana ta będzie wdrażana „stopniowo w kolejnych wersjach”, a zakończy się w Chrome 133. W tej chwili „cały adres IP wszystkich użytkowników Chrome i Chromium zostanie zablokowany” – twierdzi Oligo Bezpieczeństwo.
Mozilla nie wydała w tej chwili natychmiastowej poprawki dla Firefoksa, chociaż realizowane są prace nad jedną z nich. Naukowcy zauważyli, iż przeglądarka „nigdy nie ograniczała dostępu do sieci prywatnej, więc technicznie rzecz biorąc, zawsze było to dozwolone”. Zmieniła jednak specyfikacje RFC i nadała priorytet wdrożeniu PNA, chociaż nie zostało ono ukończone.