Adres IPv4 0.0.0.0 był w przeszłości używany jako niestandardowa “dzika karta” pozwalająca na identyfikację praktycznie wszystkich adresów IP dostępnych w sieci. Jak się jednak okazuje, może również stanowić jedną z najtrwalszych luk w zabezpieczeniach dostępu do Internetu. A co ciekawe – błąd dotyczy systemów operacyjnych macOS i Linux, ale nie Windows.
Jak narażone są przeglądarki internetowe?
Na zagrożenia związane z luką 0.0.0.0 Day zwrócił uwagę raport firmy Oligo Security. Jej wykorzystanie nie tylko pozwala spreparowanym witrynom internetowym na ominięcie zabezpieczeń przeglądarki, ale także interakcję z usługami działającymi w sieci lokalnej. Badacze niedawno “odkryli” tę lukę na nowo, chociaż doświadczeni cyberprzestępcy próbowali ją wykorzystać już od dłuższego czasu. Usterka dotyczy wszystkich dostępnych technologii przeglądarek i jest powiązana ze sposobem, w jaki obsługują żądania sieciowe.
Złośliwa strona internetowa może próbować dotrzeć do nieistniejącego adresu IP 0.0.0.0, wysyłając szkodliwy pakiet do losowego portu na tym adresie. Podatna przeglądarka może następnie skierować żądanie, potencjalnie narażając usługi sieciowe działające na komputerze lokalnym (hoście). Podatne na ataki są przeglądarki oparte na Chromium, Apple Safari (WebKit) i Mozilla Firefox (Gecko). Ponoć Mozilla próbuje rozwiązać sprawę już od początku, czyli 18 lat, jak jednak widać – bez sukcesu).
Rozwiązaniem mogło być CORS (“Cross-Origin Resource Sharing”) – specyfikacja kontrolująca dostęp do ograniczonych zasobów sieciowych, a nowsza wersja robocza specyfikacji Private Network Access (PNA) ma na celu wyraźne oddzielenie sieci publicznych i niepublicznych w przeglądarce. Jak jednak pokazały testy praktyczne, luka 0.0.0.0 Day była w stanie ominąć oba zabezpieczenia.
Czytaj też: Używasz adblockera w Chrome? Google sprawi, że nie będziesz
Badacze odkryli także aktywne kampanie wykorzystujące zasoby, wymierzone w obciążenia spowodowane korzystaniem SI. Na szczęście wszyscy trzej główni twórcy silników przeglądarek szybko zareagowali na wezwanie Oligo do opracowania rozwiązania problemu 0.0.0.0. Google ogłosiło, że Chromium/Chrome wkrótce zablokuje dostęp do adresu IP 0.0.0.0, a wdrażanie rozwiązania nastąpi stopniowo, zaczynając od Chrome 128 i będzie implementowane w pięciu kolejnych edycjach.
Apple zaktualizowało kod WebKit, aby blokować dostęp do wersji 0.0.0.0, a Mozilla zaktualizowała specyfikację Fetch, aby blokować dostęp. Tak czy owak wygląda na to, że wszystkie najpopularniejsze przeglądarki internetowe już wkrótce pozbędą się tego problemu. I taka wiadomość może jedynie cieszyć.
