0.0.0.0 Day, una falla scoperta 18 anni fa ma che ancora fa paura

Oligo Security ha svelato "0.0.0.0 Day", una vecchia falla che consente ai siti dannosi di aggirare la sicurezza del browser e interagire con i servizi sulla rete locale, dando potenzialmente accesso non autorizzato a malintenzionati e consentendo l'esecuzione di codice da remoto.
di Manolo De Agostini pubblicata il 09 Agosto 2024, alle 10:41 nel canale SicurezzaUna vulnerabilità nota da 18 anni, nota come "0.0.0.0 Day", consente a siti web dannosi di aggirare la sicurezza di Google Chrome, Mozilla Firefox e Apple Safari e di interagire con i servizi su una rete locale.
Il problema, però, riguarda solo i dispositivi Linux e macOS e non quelli Windows. I malintenzionati possono sfruttare questa falla per modificare le impostazioni da remoto, ottenere l'accesso non autorizzato a informazioni protette e, in alcuni casi, eseguire codice da remoto.
Nonostante sia stato segnalato nel 2006, 18 anni fa, questo problema rimane irrisolto su Chrome, Firefox e Safari, anche se Google, Mozilla e Apple hanno riconosciuto il problema e stanno lavorando per trovare una soluzione.
I ricercatori di Oligo Security riferiscono che diversi malintenzionati sfruttano la vulnerabilità come parte delle loro catene di attacco. Per esempio, Oligo Security ha identificato diversi casi in cui la vulnerabilità "0.0.0.0 Day" è stata usata nella campagna ShadowRay.
La vulnerabilità ha origine da meccanismi di sicurezza incoerenti tra i diversi browser e dalla mancanza di standardizzazione che consente ai siti web pubblici di comunicare con i servizi di rete locali utilizzando l'indirizzo IP "jolly" 0.0.0.0.
In genere, 0.0.0.0 rappresenta tutti gli indirizzi IP della macchina locale o tutte le interfacce di rete dell'host. Può essere usato come indirizzo segnaposto nelle richieste DHCP o interpretato come localhost (127.0.0.1) se usato in rete locale.
I siti web dannosi possono inviare richieste HTTP a 0.0.0.0 mirando a un servizio in locale sul PC dell'utente e, a causa della mancanza di una sicurezza coerente, queste richieste vengono spesso indirizzate al servizio e processate.
I meccanismi di protezione esistenti, spiega Oligo, come il Cross-Origin Resource Sharing (CORS) e il Private Network Access (PNA), non riescono a bloccare questa attività.
Fortunatamente, gli sviluppatori di browser stanno correndo ai ripari. Google ha deciso di intervenire su Chrome e bloccare l'accesso a 0.0.0.0 attraverso un rollout graduale che va dalla versione 128 (in arrivo) fino alla versione 133. Mozilla ha confermato di aver implementato una soluzione temporanea in Firefox, ma non sono state fornite date di rilascio.
Apple, infine, ha implementato controlli IP aggiuntivi su Safari tramite modifiche a WebKit e bloccato l'accesso a 0.0.0.0 sulla versione 18 che sarà introdotta con macOS Sequoia.
18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info"Più sicuro" e "inattaccabile" sono due concetti diversi e non intercambiabili...
0.0.0.0:22
Firefox risponde così:
This address is restricted
This address uses a network port which is normally used for purposes other than Web browsing. Firefox has canceled the request for your protection.
Quindi ?
Nel mentre che ci fiondiamo
Oh poverino sei ancora rimasto scosso da Crowdstrike? Linux non c'entra nulla, è un problema di browser. Se il bug riguarda il software installato linux blocca fino ad un certo punto.
Inoltre nella lista c'è MacOS, ma visto che sei un hater ti sei scagliato contro Linux.
Linu rimane più sicuro!
0.0.0.0:22
Firefox risponde così:
This address is restricted
This address uses a network port which is normally used for purposes other than Web browsing. Firefox has canceled the request for your protection.
Quindi ?
Bisognerebbe provare con un javascript che fa una richiesta xml request.
Io non ho attivo nessun servizio, nessuna porta aperta, quindi non capisco l'allarmismo creato. Sembra che ci sia ancora rodimento per CrowdStrke.
quindi teoricamente sono affetti "solo" i sistemi Linux/Mac che hostano un web server.
quindi il 90% degli utenti "desktop" non dovrebbe avere problemi (anche se quel "likely" è sospetto).
il problema è per i server, in particolare i server Linux.
[EDIT]
come mi è stato giustamente fatto notare, il problema può colpire tutti i dispositivi di una LAN dove è presente un web server con questa vulnerabilità, non solo il PC/server su cui gira il web server.
quindi teoricamente sono affetti "solo" i sistemi Linux/Mac che hostano un web server.
quindi il 90% degli utenti "desktop" non dovrebbe avere problemi (anche se quel "likely" è sospetto).
il problema è per i server, in particolare i server Linux.
ehm un server Linux, non è Winzozz,
non ci gira nè un desktop nè un browser...
Quindi in pratica i sistemi "affetti" sono... zero,
okkei, notiziona eh
PS: dai facciamo 0,00001 %
non sia mai detto che qualche admin che proviene da Microsoft abbia fatto un server su un desktop
non ci gira nè un desktop nè un browser...
Quindi in pratica i sistemi "affetti" sono... zero,
okkei, notiziona eh
sorvolando sull'uso da bimbominkia di Winzozz, su un server Linux installi quello che vuoi, DE e browser inclusi.
non è che [U]tutti[/U] i server linux sono solo console...
sul sito di Oligo https://www.oligo.security/blog/0-0...rom-the-browser è spiegato bene come funziona
[EDIT]
il web server gira sul server.
dal un browser esterno tramite un javascript malevolo tentano di accedere a 0.0.0.0 e si collega, senza necessità di autenticazione.
We then tried to access it through an external domain from Javascript, using 0.0.0.0.
It … simply worked. The request reached the server.
e il resto dell'analisi mostra diversi POC su come sfruttare la falla.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".