Oligo Security har offentliggjort oplysninger om en sårbarhed, der påvirker Chrome, Firefox og Safari, og som tillader omgåelse af adgangsbegrænsninger til netværkstjenester, der kun er tilgængelige på det lokale system, ved at tilgå IP-adressen 0.0.0.0. De første advarsler om sårbarheden blev offentliggjort for 18 år siden, men problemet er stadig ikke blevet løst.
En sårbarhed, der kun manifesterer sig i Linux и macOSDette skyldes, at IP-adressen 0.0.0.0 på disse platforme resulterer i en anmodning til den lokale netværksgrænseflade (localhost), dvs. at sende en anmodning til 0.0.0.0 er det samme som en anmodning til 127.0.0.1. Moderne browsere har funktioner til at forhindre adgang til 127.0.0.1, når man arbejder med eksterne websteder, da det kan bruges til at manipulere interne tjenester på brugerens system, som kun er tilgængelige for lokale applikationer.
Sårbarheden gør det muligt at omgå adgangsforbuddet til 127.0.0.1 og organisere et angreb på interne tjenester, når man åbner en ekstern side i en browser, der kontrolleres af angriberen. Ved adgang via 0.0.0.0 kan CORS- (Cross-Origin Resource Sharing) og PNA-mekanismerne (Private Network Access) ikke forhindre et sådant angreb. Det bemærkes, at problemet ikke er så harmløst, som det ser ud til, og at det allerede bruges af angribere i færd med at begå reelle angreb, der udnytter kritiske sårbarheder i serverapplikationer, som kun er tilgængelige for det lokale system.
For eksempel blev brugen af 0.0.0.0 til at få adgang til lokale tjenester registreret i ShadowRay- og Selenium Grid-angrebene, der blev opdaget i marts og juli, og som blev brugt til at organisere kodeudførelse på udviklersystemer. I tilfældet med ShadowRay-angrebet var målet systemerne tilhørende udviklere, der brugte Ray AI-frameworket. Det andet angreb var rettet mod en kritisk sårbarhed i Selenium Grid-platformen i konfigurationer, der kun accepterer anmodninger fra den lokale vært.
Derudover nævnes muligheden for at bruge metoden til at udnytte ShellTorch-sårbarheden. server PyTorch TorchServe, der bruges på computere hos AI-applikationsudviklere. Adgang til localhost-netværkstjenester kan også bruges til at scanne netværksporte for indirekte brugeridentifikation.
Firefox-udviklere har forberedt en ændring i specifikationerne for Fetch-kaldet, der forhindrer adgang til 0.0.0.0, men har endnu ikke fastlagt, hvornår blokeringen starter i browseren. Chrome planlægger at begynde at blokere adgang til 0.0.0.0 i Chrome 128, hvilket forventes at ske i næste uge. Safari planlægger at implementere 0.0.0.0-blokering i Safari 18.
Kilde: opennet.ru
