Кампанія Oligo Security апублікавала інфармацыю аб уразлівасці, якая закранае Chrome, Firefox і Safari, і якая дазваляе абыйсці абмежаванне доступу да сеткавых службаў, даступным толькі на лакальнай сістэме, праз зварот па IP-адрасу 0.0.0.0. Першыя папярэджанні аб уразлівасці былі апублікаваныя яшчэ 18 гадоў таму, але да гэтага часу праблема так і не была выпраўлена.
Уразлівасць, якая праяўляецца толькі ў Linux и macOS, выкліканая тым, што IP-адрас 0.0.0.0 на дадзеных платформах прыводзіць звароту да лакальнага сеткавага інтэрфейсу (localhost), г.зн. адпраўка запыту на 0.0.0.0 аналагічная запыту да адраса 127.0.0.1. У сучасных браўзэрах маюцца сродкі для процідзеяння звароту да 127.0.0.1 пры працы з вонкавымі сайтамі, бо яно можа выкарыстоўвацца для маніпуляцый з унутранымі сэрвісамі на сістэме карыстача, даступнымі толькі лакальным прыкладанням.
Уяўнасць дазваляе абыйсці забарону звароту да 127.0.0.1 і арганізаваць напад на ўнутраныя сэрвісы пры адкрыцці ў браўзэры знешняй старонкі, падкантрольнай атакаваламу. Пры звароце праз 0.0.0.0 механізмы CORS (Cross-Origin Resource Sharing) і PNA (Private Network Access) не могуць перашкодзіць здзяйсненню падобнага нападу. Адзначаецца, што праблема не гэтак бяскрыўдная, як здаецца, і ўжо выкарыстоўваецца зламыснікамі падчас здзяйснення рэальных нападаў, якія эксплуатуюць крытычныя ўразлівасці ў серверных прыкладаннях, доступ да якіх адкрыты толькі для лакальнай сістэмы.
Напрыклад, выкарыстанне 0.0.0.0 для доступу да лакальных сэрвісаў зафіксавана ў выяўленых у сакавіку і ліпені нападах ShadowRay і Selenium Grid, якія выкарыстоўваліся для арганізацыі выканання кода на сістэмах распрацоўнікаў. У выпадку нападу ShadowRay мэтай былі сістэмы распрацоўнікаў, якія выкарыстоўваюць AI-фрэймворк Ray. Другі напад быў накіраваны на эксплуатацыю крытычнай уразлівасці ў платформе Selenium Grid у канфігурацыях, якія прымаюць запыты толькі з лакальнага хаста.
Дадаткова, згадваецца магчымасць ужывання метаду для эксплуатацыі ўразлівасці ShellTorch у серверы PyTorch TorchServe, які выкарыстоўваецца на кампутарах распрацоўшчыкаў AI-прыкладанняў. Доступ да сеткавых сэрвісаў лакальнага хаста таксама можа выкарыстоўвацца для сканавання сеткавых партоў з мэтай ускоснай ідэнтыфікацыі карыстальніка.
Распрацоўнікі Firefox падрыхтавалі змену спецыфікацыі для выкліку Fetch, якое забараняе доступ да 0.0.0.0, але пакуль не вызначылі час пачатку блакавання ў браўзэры. У Chrome доступ да 0.0.0.0 плануюць пачаць блакаваць у выпуску Chrome 128, чаканым на наступным тыдні. У Safari блакаванне 0.0.0.0 плануюць рэалізаваць у выпуску Safari 18.
Крыніца: opennet.ru
