總部位於以色列的網絡安全公司Oligo的研究人員發現了一個關鍵的18歲脆弱性,影響了所有主要的網絡瀏覽器,包括Google的Chromium,Mozilla Firefox和Apple的Safari,使攻擊者可以違反本地網絡。
此漏洞被稱為“ 0.0.0.0天”,繞過所有主要瀏覽器中的瀏覽器安全性,並與在組織本地網絡上運行的服務進行交互。
這種互動可能會授予威脅參與者未經授權的訪問敏感信息,甚至在某些情況下,甚至允許他們執行遠程代碼在本地服務上。
換句話說,攻擊者可以從網絡外部訪問文件,消息和憑據,操縱或竊取數據,中斷操作或安裝進一步的惡意軟件。
但是,應該注意的是,由於Microsoft在操作系統級別阻止IP地址,因此此關鍵缺陷僅影響運行Linux和MacOS的計算機,而不是Windows。
根據Oligo的AI安全研究人員Avi Lumelsky的說法,公共網站(例如以.com結尾的域)能夠與在本地網絡(LocalHost)上運行的服務進行通信,並通過使用地址0.0.0.0而不是LocalHost/127.0.0.0.0.1.1.1。
“這個問題源於跨不同瀏覽器的安全機制的不一致,以及瀏覽器行業缺乏標準化。結果,看似無害的IP地址0.0.0.0.0.0.0.0,可以成為攻擊者利用本地服務的有力工具,包括用於開發,操作系統及其內部網絡的那些,” Lumelsky。寫在安全博客文章中。
Oligo還解釋說,它繞過了現有的保護機制,例如交叉原始資源共享(CORS)和專用網絡訪問(PNA),這些機制無法防止這種危險活動。
Oligo安全研究人員觀察到多個威脅參與者利用了這一缺陷,包括Shadowray和Seleniumgreed等競選攻擊。
在ShadowRay中,該活動積極針對AI的AI工作負載,該工作負載在開發人員的機器(Ray Clusters)上進行了本地運行,而在Selenium中,威脅參與者利用已知的遠程代碼執行(RCE)漏洞利用Selenium Grid公共服務器來獲得對組織的初始訪問。
為了回應Oligo的披露,Web瀏覽器開發人員開始採取行動,以阻止Google Chrome,Mozilla Firefox和Apple Safari的訪問0.0.0.0:
Google Chrome:世界上最受歡迎的Web瀏覽器已決定通過漸進的推出從Chromium 128開始,從而阻止訪問0.0.0.0(Finch推出),並使用Chrome 133完成。那時,IP地址將完全阻止所有Chrome和Chromium用戶。
Mozilla Firefox:Firefox用戶可能必須等待更長的時間才能進行補丁,因為Mozilla表示,阻止0.0.0.0可能會引起使用該地址的服務器的重大兼容性問題。因此,它尚未對訪問0.0.0.0的任何限制,但計劃將來這樣做。
蘋果野生動物園:Apple計劃使用MacOS Sequoia的公共Beta版本將查詢從網站上發送到0.0.0.0的所有嘗試。該更新將使用Safari 18發貨,預計將推出Macos Sonoma和Macos Ventura
在瀏覽器修復到達之前,Oligo建議應用程序開發人員遵循以下措施保護本地應用程序:
- 實施PNA標頭。
- 驗證請求的主機標頭,以防止對Local主持的DNS重新啟動攻擊或127.0.0.1。
- 不要相信本地主機網絡 - 甚至在本地添加最小的授權層。
- 盡可能使用HTTP。
- 在您的應用程序中,即使是本地設備,實現CSRF代幣。
- 開發人員必須記住,瀏覽器充當網關,並且在許多瀏覽器中具有內部IP地址空間的路由功能。
