Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² web-Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π°Ρ…, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ Π°Ρ‚Π°ΠΊΠΎΠ²Π°Ρ‚ΡŒ Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ сСрвисы Ρ‡Π΅Ρ€Π΅Π· IP 0.0.0.0

Компания Oligo Security ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»Π° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎΠ± уязвимости, Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°ΡŽΡ‰Π΅ΠΉ Chrome, Firefox ΠΈ Safari, ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅ΠΉ ΠΎΠ±ΠΎΠΉΡ‚ΠΈ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠ΅ доступа ΠΊ сСтСвым слуТбам, доступным Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π½Π° локальной систСмС, Ρ‡Π΅Ρ€Π΅Π· ΠΎΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΠ΅ ΠΏΠΎ IP-адрСсу 0.0.0.0. ΠŸΠ΅Ρ€Π²Ρ‹Π΅ прСдупрСТдСния ΠΎΠ± уязвимости Π±Ρ‹Π»ΠΈ ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Ρ‹ Π΅Ρ‰Ρ‘ 18 Π»Π΅Ρ‚ Π½Π°Π·Π°Π΄, Π½ΠΎ Π΄ΠΎ сих ΠΏΠΎΡ€ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Ρ‚Π°ΠΊ ΠΈ Π½Π΅ Π±Ρ‹Π»Π° исправлСна.

Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, которая проявляСтся Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π² Linux ΠΈ macOS, Π²Ρ‹Π·Π²Π°Π½Π° Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎ IP-адрСс 0.0.0.0 Π½Π° Π΄Π°Π½Π½Ρ‹Ρ… ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ°Ρ… ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΡ‚ ΠΎΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΡŽ ΠΊ Π»ΠΎΠΊΠ°Π»ΡŒΠ½ΠΎΠΌΡƒ сСтСвому интСрфСйсу (localhost), Ρ‚.Π΅. ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠ° запроса Π½Π° 0.0.0.0 Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½Π° запросу ΠΊ адрСсу 127.0.0.1. Π’ соврСмСнных Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π°Ρ… ΠΈΠΌΠ΅ΡŽΡ‚ΡΡ срСдства для противодСйствия ΠΎΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΡŽ ΠΊ 127.0.0.1 ΠΏΡ€ΠΈ Ρ€Π°Π±ΠΎΡ‚Π΅ с внСшними сайтами, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ ΠΎΠ½ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ для манипуляций с Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΠΌΠΈ сСрвисами Π½Π° систСмС ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ, доступными Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹ΠΌ прилоТСниям.

Π£ΡΠ²Π·ΠΈΠΌΠΎΡΡ‚ΡŒ позволяСт ΠΎΠ±ΠΎΠΉΡ‚ΠΈ Π·Π°ΠΏΡ€Π΅Ρ‚ обращСния ΠΊ 127.0.0.1 ΠΈ ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π°Ρ‚Π°ΠΊΡƒ Π½Π° Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΠ΅ сСрвисы ΠΏΡ€ΠΈ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΈΠΈ Π² Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π΅ внСшнСй страницы, ΠΏΠΎΠ΄ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒΠ½ΠΎΠΉ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅ΠΌΡƒ. ΠŸΡ€ΠΈ ΠΎΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΠΈ Ρ‡Π΅Ρ€Π΅Π· 0.0.0.0 ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΡ‹ CORS (Cross-Origin Resource Sharing) ΠΈ PNA (Private Network Access) Π½Π΅ ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΠΎΠΌΠ΅ΡˆΠ°Ρ‚ΡŒ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡŽ ΠΏΠΎΠ΄ΠΎΠ±Π½ΠΎΠΉ Π°Ρ‚Π°ΠΊΠΈ. ΠžΡ‚ΠΌΠ΅Ρ‡Π°Π΅Ρ‚ΡΡ, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π½Π΅ ΡΡ‚ΠΎΠ»ΡŒ Π±Π΅Π·ΠΎΠ±ΠΈΠ΄Π½Π°, ΠΊΠ°ΠΊ каТСтся, ΠΈ ΡƒΠΆΠ΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ Π² процСссС ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ, ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΡ… критичСскиС уязвимости Π² сСрвСрных прилоТСниях, доступ ΠΊ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ для локальной систСмы.

Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² web-Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π°Ρ…, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ Π°Ρ‚Π°ΠΊΠΎΠ²Π°Ρ‚ΡŒ Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ сСрвисы Ρ‡Π΅Ρ€Π΅Π· IP 0.0.0.0Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² web-Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π°Ρ…, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ Π°Ρ‚Π°ΠΊΠΎΠ²Π°Ρ‚ΡŒ Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ сСрвисы Ρ‡Π΅Ρ€Π΅Π· IP 0.0.0.0

НапримСр, использованиС 0.0.0.0 для доступа ΠΊ Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹ΠΌ сСрвисам зафиксировано Π² выявлСнных Π² ΠΌΠ°Ρ€Ρ‚Π΅ ΠΈ июлС Π°Ρ‚Π°ΠΊΠ°Ρ… ShadowRay ΠΈ Selenium Grid, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ использовались для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ выполнСния ΠΊΠΎΠ΄Π° Π½Π° систСмах Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ². Π’ случаС Π°Ρ‚Π°ΠΊΠΈ ShadowRay Ρ†Π΅Π»ΡŒΡŽ Π±Ρ‹Π»ΠΈ систСмы Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ², ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΡ… AI-Ρ„Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊ Ray. Вторая Π°Ρ‚Π°ΠΊΠ° Π±Ρ‹Π»Π° Π½Π°Ρ†Π΅Π»Π΅Π½Π° Π½Π° ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚Π°Ρ†ΠΈΡŽ критичСской уязвимости Π² ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ΅ Selenium Grid Π² конфигурациях, ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°ΡŽΡ‰ΠΈΡ… запросы Ρ‚ΠΎΠ»ΡŒΠΊΠΎ с локального хоста.

Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ, упоминаСтся Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ примСнСния ΠΌΠ΅Ρ‚ΠΎΠ΄Π° для эксплуатации уязвимости ShellTorch Π² сСрвСрС PyTorch TorchServe, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠΌ Π½Π° ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π°Ρ… Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² AI-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. Доступ ΠΊ сСтСвым сСрвисам локального хоста Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ для сканирования сСтСвых ΠΏΠΎΡ€Ρ‚ΠΎΠ² с Ρ†Π΅Π»ΡŒΡŽ косвСнной ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ.

Π Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ Firefox ΠΏΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²ΠΈΠ»ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ спСцификации для Π²Ρ‹Π·ΠΎΠ²Π° Fetch, Π·Π°ΠΏΡ€Π΅Ρ‰Π°ΡŽΡ‰Π΅Π΅ доступ ΠΊ 0.0.0.0, Π½ΠΎ ΠΏΠΎΠΊΠ° Π½Π΅ ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΠ»ΠΈ врСмя Π½Π°Ρ‡Π°Π»Π° Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΈ Π² Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π΅. Π’ Chrome доступ ΠΊ 0.0.0.0 ΠΏΠ»Π°Π½ΠΈΡ€ΡƒΡŽΡ‚ Π½Π°Ρ‡Π°Ρ‚ΡŒ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π² выпускС Chrome 128, ΠΎΠΆΠΈΠ΄Π°Π΅ΠΌΠΎΠΌ Π½Π° ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΉ Π½Π΅Π΄Π΅Π»Π΅. Π’ Safari Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΡƒ 0.0.0.0 ΠΏΠ»Π°Π½ΠΈΡ€ΡƒΡŽΡ‚ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π² выпускС Safari 18.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru