18 yıl önce "0.0.0.0 gün" olarak adlandırılan bir güvenlik açığı, kötü amaçlı web sitelerinin Google Chrome, Mozilla Firefox ve Apple Safari'de güvenliği atlamasına ve yerel bir ağdaki hizmetlerle etkileşime girmesine izin veriyor.
Ancak, bunun sadece Linux ve macOS cihazlarını etkilediğine ve pencerelerde çalışmadığına dikkat edilmelidir.
Etkilenen cihazlar için, tehdit aktörleri ayarları uzaktan değiştirmek, korunan bilgilere yetkisiz erişim elde etmek ve bazı durumlarda uzaktan kod yürütme elde etmek için bu kusuru kullanabilir.
18 yıl önce 2008'de bildirilmesine rağmen, bu sorun Chrome, Firefox ve Safari'de çözülmedi, ancak üçü de sorunu kabul etti ve bir düzeltme için çalışıyor.
Oligo Security'deki araştırmacılar, riskin sadece saldırıları teorik olarak mümkün kılmakla kalmayıp, aynı zamanda saldırganlıktan faydalanan birden fazla tehdit aktörünün saldırganlık zincirlerinin bir parçası olarak gözlemlediğini bildiriyor.
0.0.0.0 günlük güvenlik açığı, farklı tarayıcılardaki tutarsız güvenlik mekanizmalarından ve "Wildcard" IP adresi 0.0.0.0 kullanarak kamu web sitelerinin yerel ağ hizmetleriyle iletişim kurmasına izin veren standardizasyon eksikliğinden kaynaklanmaktadır.
Tipik olarak, 0.0.0.0, yerel makinedeki tüm IP adreslerini veya ana bilgisayardaki tüm ağ arayüzlerini temsil eder. DHCP isteklerinde yer tutucu adresi olarak kullanılabilir veya yerel ağlarda kullanıldığında Localhost (127.0.0.1) olarak yorumlanabilir.
Kötü niyetli web siteleri, kullanıcının yerel makinesinde çalışan bir hizmeti hedefleyen 0.0.0.0'a HTTP istekleri gönderebilir ve tutarlı güvenlik eksikliği nedeniyle bu istekler genellikle hizmete yönlendirilir ve işlenir.
Oligo, ORIGIN ORIGIN KAYNAK KAYNAK PAYLAŞI (CORS) ve Özel Ağ Erişim (PNA) gibi mevcut koruma mekanizmalarının bu riskli aktiviteyi durduramadığını açıklıyor.
Varsayılan olarak, web tarayıcıları bir web sitesinin üçüncü taraf bir web sitesine istekte bulunmasını ve iade edilen bilgileri kullanmasını önler. Bu, kötü amaçlı web sitelerinin bir ziyaretçinin web tarayıcısındaki diğer URL'lere bağlanmasını önlemek için yapıldı, bunların çevrimiçi bankacılık portalı, e -posta sunucuları veya başka bir hassas site gibi kimliği doğrulanabilecekleri.
Web tarayıcıları, web sitelerinin açıkça izin verilirse başka bir siteden verilere erişmesine izin vermek için çapraz orijin kaynak paylaşımını (CORS) tanıttı.
"Cors da harika ve zaten interneti çok daha güvenli hale getiriyor. Cors yanıtların saldırgana ulaşmasını önler, bu nedenle saldırganlar geçersiz istekte bulunurken veri okuyamazlar. Bir istek gönderirken, CORS başlıkları yanıtta mevcut değilse Saldırganın JavaScript kodu yanıtın içeriğini okuyamaz. CORS yanıtı yalnızca JavaScript'e yaymadan önce durdurur, ancak opak istekler “CORS” modunda gönderilebilir ve yanıtları umursamıyorsak sunucuya başarılı bir şekilde ulaşabilir. "
Örneğin, bir tehdit oyuncunun amacı, bir ayarı değiştirmek veya bir görevi yürütmek için kullanılabilecek yerel bir cihazda çalışan bir HTTP uç noktasına ulaşmaksa, çıktı gereksizdir.
Oligo, Özel Ağ Erişim (PNA) Güvenlik özelliğinin, yerel veya özel olarak kabul edilen IP adreslerine bağlanmaya çalışan herhangi bir talepü engelleyerek CORS'tan biraz farklı yaptığını açıklıyor.
Bununla birlikte, Oligo'nun araştırması, özel 0.0.0.0 IP adresinin 127.0.0.1 gibi kısıtlı PNA adresleri listesine dahil olmadığını ortaya çıkardı, bu nedenle uygulama zayıf.
Bu nedenle, bu özel adrese "CORS NO" modunda bir istek yapılırsa, PNA'yı atlayabilir ve yine de 127.0.0.1'de çalışan bir web sunucusu URL'sine bağlanabilir.
BleepingComputer, Firefox tarayıcısı ile Linux üzerinde bir testte çalıştığı kusurun doğruladı.
Ne yazık ki, risk sadece teorik değil. Oligo Security, "0.0.0.0 gün" kırılganlığının vahşi doğada aktiviteden yararlandığı birkaç vakayı tanımlamıştır.
İlk dava, aynı araştırmacıların geçen Mart ayında belgelediği Shadowray kampanyası. Bu kampanya, geliştiricilerin makinelerinde (ışın kümeleri) yerel olarak çalışan AI iş yüklerini hedeflemektedir.
Saldırı, kurbanın e -posta yoluyla gönderilen bir bağlantıyı tıklamasıyla başlar veya 'http: // 0 [.] 0 [.] 0 [.] 0: 8265' adresine bir HTTP isteği göndermek için JavaScript'i tetikleyen kötü amaçlı bir sitede bulunur. Tipik olarak Ray tarafından kullanılır.
Bu talepler, keyfi kod yürütme, ters kabuklar ve yapılandırma değişikliklerinin senaryolarını açarak yerel ışın kümesine ulaşır.
Başka bir durum, geçen ay Wiz tarafından keşfedilen Selenyum Grid'i hedefleyen bir kampanya. Bu kampanyada, saldırganlar 'http: // 0 [.] 0 [.] 0 [.] 0: 4444'e istek göndermek için kamuya açık bir alanda JavaScript kullanıyor.
Bu talepler Selenium Grid sunucularına yönlendirilir ve saldırganların kod yürütmesini veya ağ keşfi yapmasını sağlar.
Son olarak, "Shelltorch" kırılganlığı Ekim 2023'te Oligo tarafından bildirildi ve burada Torchserve web panelinin Localhost yerine varsayılan olarak 0.0.0.0 IP adresine bağlı olduğu ve kötü niyetli isteklere maruz kaldığı bildirildi.
Oligo, geçen aydan bu yana 0.0.0.0 ile iletişim kuran kamu web sitelerinin sayısında ani bir artış olduğunu bildirdi ve şu anda yaklaşık 100.000'e ulaştı.
Oligo'nun bu etkinliği açıklamasına yanıt olarak, web tarayıcı geliştiricileri nihayet harekete geçmeye başlıyor:
Dünyanın en popüler web tarayıcısı olan Google Chrome, 128 sürümünden (yaklaşan) sürüm 133'e kadar süren kademeli bir sunum yoluyla harekete geçmeye ve 0,0.0.0'a erişmeye karar verdi.
Mozilla Firefox PNA uygulamıyor, ancak yüksek bir geliştirme önceliği. PNA uygulanana kadar geçici bir düzeltme harekete geçirildi, ancak sunulma tarihi sağlanmadı.
Apple, Webkit'teki değişiklikler yoluyla Safari'de ek IP kontrolleri uyguladı ve MacOS Sequoia ile tanıtılacak olan 18. sürümde (yaklaşan) 0.0.0.0'a erişimi engelledi.
Tarayıcı düzeltmeleri gelene kadar Oligo, uygulama geliştiricilerinin aşağıdaki güvenlik önlemlerini uygulamalarını önerir:
En önemlisi, geliştiriciler düzeltmeler yapılana kadar, kötü amaçlı web sitelerinin HTTP isteklerini dahili IP adreslerine yönlendirmesinin hala mümkün olduğunu hatırlamalıdır. Bu nedenle, uygulamalarını geliştirirken bu güvenliği göz önünde bulundurmalıdırlar.
Google Chrome Bug Breaks Downloads Bubble'dan Drag ve Drop
Google Chrome artık korumalı arşivleri taramak için şifreler istiyor
Mozilla Firefox artık cihaz kimlik bilgileriyle şifrelere erişimi güvence altına alabilir
Microsoft, NTLM karmalarını ortaya çıkaran eşleştirilmemiş ofis kusurunu açıklar
Kötü amaçlı yazılım kuvvetleri 300.000 tarayıcıda krom uzantıları, yamalar dlls
Kaynak: Bleeping Computer