0.0.0.0 Day, la vulnerabilità “maggiorenne” che colpisce i principali browser

I ricercatori di Oligo hanno reso nota l’esistenza di una vulnerabilità che colpisce tutti i principali browser e consente a un attaccante di sfruttare servizi locali, sistemi operativi e reti interne per scopi malevoli, come l’esecuzione di codice da remoto.

Pixabay

Il bug colpisce Chromium, Firefox e Safari e consente a siti web esterni di comunicare e potenzialmente sfruttare software che vengono eseguiti localmente su macchine macOS e Linux; i sistemi Windows, invece, non sono impattati dalla vulnerabilità. Nel dettaglio, i siti web pubblici possono comunicare con i servizi in esecuzione su localhost usando l’indirizzo 0.0.0.0; da qui il nome che i ricercatori hanno dato al bug.

Scegliendo una qualsiasi porta, un sito web può inviare richieste malevole che vengono processate dai servizi interni. “Quando i servizi utilizzano localhost, presuppongono un ambiente con restrizioni” spiegano i ricercatori. “Questo presupposto, che può (come nel caso di questa vulnerabilità) essere errato, si traduce in implementazioni di server non sicure“.

La vulnerabilità dei browser che ha 18 anni

I ricercatori di Oligo sottolineano che questo bug era già stato segnalato per la prima volta 18 anni fa, quando un utente di Firefox aveva affermato che dei siti web pubblici avevano attaccato il router nella sua rete interna. Il bug, segnalato come issue di sicurezza, è tuttora in stato “Open” ed è stato sfruttato più volte dagli attaccanti.

La issue è stata chiusa e riaperta più volte e i mantainer del progetto non sempre hanno concordato sulla natura della segnalazione, discutendo se fosse o no una vulnerabilità e se fosse specifica di Firefox o meno.

Prima della scoperta di Oligo, Chrome aveva cercato di risolvere il problema delle richieste provenienti da siti web esterni introducendo il Private Network Access (PNA), uno standard che si occupa proprio di limitare la capacità dei siti web di inviare richieste a server che si trovano su reti private. Il PNA distingue tra reti pubbliche, private e locali e impedisce alle pagine caricate in un contesto meno sicuro di comunicare con quelle in contesti più sicuri, prevenendo l’invio delle richieste.

Il problema, spiegano i ricercatori di Oligo, è che l’IP 0.0.0.0 non è inserito nella lista di indirizzi considerati privati o locali; effettuando una prova, il team è riuscito a inviare una richiesta all’IP locale da un dominio esterno e ottenere una risposta.

Il team di Oligo ha eseguito una serie di test usando applicazioni reali eseguite in locale, come Ray per l’esecuzione di workload di IA o istanze Selenium Grid: in entrambi i casi è stato possibile inviare richieste alle applicazioni locali.

Come proteggersi

Grazie al report di Oligo, le società dietro i principali browser hanno rilasciato dei fix per bloccare 0.0.0.0 come IP target nelle richieste.

In ogni caso, è bene proteggere le applicazioni locali a prescindere, senza attendere le patch dei browser. I ricercatori consigliano di implementare gli header PNA, aggiungere un livello anche minimo di autorizzazione per le applicazioni che vengono eseguite in locale, usare HTTPS quando possibile, implementare i token CSRF anche sulle applicazioni locali e verificare l’header HOST delle richieste per proteggersi da attacchi di DNS rebinding.