0.0.0.0 Day, una falla scoperta 18 anni fa ma che ancora fa paura

0.0.0.0 Day, una falla scoperta 18 anni fa ma che ancora fa paura

Oligo Security ha svelato "0.0.0.0 Day", una vecchia falla che consente ai siti dannosi di aggirare la sicurezza del browser e interagire con i servizi sulla rete locale, dando potenzialmente accesso non autorizzato a malintenzionati e consentendo l'esecuzione di codice da remoto.

di pubblicata il , alle 10:41 nel canale Sicurezza
 

Una vulnerabilità nota da 18 anni, nota come "0.0.0.0 Day", consente a siti web dannosi di aggirare la sicurezza di Google Chrome, Mozilla Firefox e Apple Safari e di interagire con i servizi su una rete locale.

Il problema, però, riguarda solo i dispositivi Linux e macOS e non quelli Windows. I malintenzionati possono sfruttare questa falla per modificare le impostazioni da remoto, ottenere l'accesso non autorizzato a informazioni protette e, in alcuni casi, eseguire codice da remoto.

Nonostante sia stato segnalato nel 2006, 18 anni fa, questo problema rimane irrisolto su Chrome, Firefox e Safari, anche se Google, Mozilla e Apple hanno riconosciuto il problema e stanno lavorando per trovare una soluzione.

I ricercatori di Oligo Security riferiscono che diversi malintenzionati sfruttano la vulnerabilità come parte delle loro catene di attacco. Per esempio, Oligo Security ha identificato diversi casi in cui la vulnerabilità "0.0.0.0 Day" è stata usata nella campagna ShadowRay.

La vulnerabilità ha origine da meccanismi di sicurezza incoerenti tra i diversi browser e dalla mancanza di standardizzazione che consente ai siti web pubblici di comunicare con i servizi di rete locali utilizzando l'indirizzo IP "jolly" 0.0.0.0.

In genere, 0.0.0.0 rappresenta tutti gli indirizzi IP della macchina locale o tutte le interfacce di rete dell'host. Può essere usato come indirizzo segnaposto nelle richieste DHCP o interpretato come localhost (127.0.0.1) se usato in rete locale.

I siti web dannosi possono inviare richieste HTTP a 0.0.0.0 mirando a un servizio in locale sul PC dell'utente e, a causa della mancanza di una sicurezza coerente, queste richieste vengono spesso indirizzate al servizio e processate.

I meccanismi di protezione esistenti, spiega Oligo, come il Cross-Origin Resource Sharing (CORS) e il Private Network Access (PNA), non riescono a bloccare questa attività.

Fortunatamente, gli sviluppatori di browser stanno correndo ai ripari. Google ha deciso di intervenire su Chrome e bloccare l'accesso a 0.0.0.0 attraverso un rollout graduale che va dalla versione 128 (in arrivo) fino alla versione 133. Mozilla ha confermato di aver implementato una soluzione temporanea in Firefox, ma non sono state fornite date di rilascio.

Apple, infine, ha implementato controlli IP aggiuntivi su Safari tramite modifiche a WebKit e bloccato l'accesso a 0.0.0.0 sulla versione 18 che sarà introdotta con macOS Sequoia.

18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
yeppala09 Agosto 2024, 11:27 #1
riguarda solo i dispositivi Linux e macOS e non quelli Windows
Alla faccia di chi diceva che Linux era più sicuro!
marcram09 Agosto 2024, 12:10 #2
Originariamente inviato da: yeppala
Alla faccia di chi diceva che Linux era più sicuro!

"Più sicuro" e "inattaccabile" sono due concetti diversi e non intercambiabili...
barzokk09 Agosto 2024, 12:25 #3
Firefox su Linux:
0.0.0.0:22

Firefox risponde così:
This address is restricted
This address uses a network port which is normally used for purposes other than Web browsing. Firefox has canceled the request for your protecti
on.

Quindi ?
dirac_sea09 Agosto 2024, 13:13 #4
Originariamente inviato da: yeppala
Alla faccia di chi diceva che Linux era più sicuro!


Nel mentre che ci fiondiamo alla ricerca di un update ricevi la doverosa ricompensa...
lumeruz09 Agosto 2024, 14:02 #5
su uBlock Origin ho sempre tenuto abilitato "Block Outsider Intrusion into LAN" ed il problema non si pone, inoltre non ho attivo nessun servizio, quindi a cosa si dovrebbero connettere?
lumeruz09 Agosto 2024, 14:07 #6
Originariamente inviato da: yeppala
Alla faccia di chi diceva che Linux era più sicuro!


Oh poverino sei ancora rimasto scosso da Crowdstrike? Linux non c'entra nulla, è un problema di browser. Se il bug riguarda il software installato linux blocca fino ad un certo punto.
Inoltre nella lista c'è MacOS, ma visto che sei un hater ti sei scagliato contro Linux.
Linu rimane più sicuro!
lumeruz09 Agosto 2024, 14:10 #7
Originariamente inviato da: barzokk
Firefox su Linux:
0.0.0.0:22

Firefox risponde così:
This address is restricted
This address uses a network port which is normally used for purposes other than Web browsing. Firefox has canceled the request for your protecti
on.

Quindi ?


Bisognerebbe provare con un javascript che fa una richiesta xml request.
Io non ho attivo nessun servizio, nessuna porta aperta, quindi non capisco l'allarmismo creato. Sembra che ci sia ancora rodimento per CrowdStrke.
insane7409 Agosto 2024, 14:29 #8
nell'articolo originale c'è scritto (la sottolineatura è mia):

There is some limitation to the attacks, in that they will [U]likely[/U] only affect individuals and businesses hosting web servers.


quindi teoricamente sono affetti "solo" i sistemi Linux/Mac che hostano un web server.

quindi il 90% degli utenti "desktop" non dovrebbe avere problemi (anche se quel "likely" è sospetto).
il problema è per i server, in particolare i server Linux.

[EDIT]
come mi è stato giustamente fatto notare, il problema può colpire tutti i dispositivi di una LAN dove è presente un web server con questa vulnerabilità, non solo il PC/server su cui gira il web server.
barzokk09 Agosto 2024, 14:56 #9
Originariamente inviato da: insane74
nell'articolo originale c'è scritto (la sottolineatura è mia):



quindi teoricamente sono affetti "solo" i sistemi Linux/Mac che hostano un web server.

quindi il 90% degli utenti "desktop" non dovrebbe avere problemi (anche se quel "likely" è sospetto).
il problema è per i server, in particolare i server Linux.

ehm un server Linux, non è Winzozz,
non ci gira nè un desktop nè un browser...

Quindi in pratica i sistemi "affetti" sono... zero,
okkei, notiziona eh

PS: dai facciamo 0,00001 %
non sia mai detto che qualche admin che proviene da Microsoft abbia fatto un server su un desktop
insane7409 Agosto 2024, 14:59 #10
Originariamente inviato da: barzokk
ehm un server Linux, non è Winzozz,
non ci gira nè un desktop nè un browser...

Quindi in pratica i sistemi "affetti" sono... zero,
okkei, notiziona eh


sorvolando sull'uso da bimbominkia di Winzozz, su un server Linux installi quello che vuoi, DE e browser inclusi.
non è che [U]tutti[/U] i server linux sono solo console...

sul sito di Oligo https://www.oligo.security/blog/0-0...rom-the-browser è spiegato bene come funziona

[EDIT]
il web server gira sul server.
dal un browser esterno tramite un javascript malevolo tentano di accedere a 0.0.0.0 e si collega, senza necessità di autenticazione.

...we ran a dummy HTTP server on localhost (127.0.0.1).
We then tried to access it through an external domain from Javascript, using 0.0.0.0.
It … simply worked. The request reached the server.


e il resto dell'analisi mostra diversi POC su come sfruttare la falla.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^