Especialistas em segurança cibernética descobriram uma nova vulnerabilidade “0.0.0.0 Day” que ameaça todos os principais navegadores da web, permitindo que sites maliciosos potencialmente se infiltrem em redes locais.
De acordo com Avi Lumelsky, pesquisador da Oligo Security, essa falha crítica “revela uma fraqueza fundamental na forma como os navegadores gerenciam solicitações de rede, possivelmente dando aos invasores acesso a serviços confidenciais em dispositivos locais”.
A empresa israelense de segurança de aplicativos observou que o impacto da vulnerabilidade é generalizado, enraizado na aplicação inconsistente de protocolos de segurança e na falta de padronização entre diferentes navegadores.
Esta falha pode permitir que o aparentemente benigno endereço IP 0.0.0.0 seja explorado, permitindo que invasores obtenham acesso não autorizado e executem código remoto em dispositivos dentro da rede. A vulnerabilidade supostamente existe desde 2006.
Google Chrome/Chromium, Mozilla Firefox e Apple Safari são todos afetados, permitindo que sites externos interajam com softwares executados localmente no MacOS e Linux. Dispositivos Microsoft Windows não são afetados, pois o sistema operacional bloqueia o endereço IP 0.0.0.0.
A Oligo Security descobriu particularmente que sites públicos com domínios “.com” podem interagir com serviços de rede local e executar código arbitrário no dispositivo host usando o endereço 0.0.0.0 em vez de localhost/127.0.0.1.
Este problema também contorna Private Network Access (PNA), que tem como objetivo impedir que sites públicos acessem endpoints de rede privada.
Qualquer aplicativo acessível via 0.0.0.0 é vulnerável à execução remota de código, incluindo instâncias locais do Selenium Grid, por meio de uma solicitação POST criada enviada para 0.0.0[.]0:4444.
Em essência, uma página da web maliciosa pode enviar solicitações para 0.0.0.0 e uma porta específica, que pode ser processada por serviços locais nessa porta, levando a consequências não intencionais.
Em resposta, espera-se que os navegadores bloqueiem o acesso a 0.0.0.0 até abril de 2024, encerrando o acesso direto a endpoints de rede privada de sites públicos.
“Quando os serviços usam o localhost, eles operam sob a suposição de um ambiente controlado”, explicou Lumelsky. “Essa suposição, que pode ser falha, como mostrado por essa vulnerabilidade, leva a implementações de servidor inseguras.”
“Ao usar 0.0.0.0 com o modo ‘no-cors‘, os invasores podem aproveitar domínios públicos para atacar serviços no localhost, potencialmente alcançando execução arbitrária de código (RCE) com uma única solicitação HTTP.”
Fonte: TheHackerNews
