“0.0.0.0-Day” güvenlik açığı Chrome, Safari ve Firefox’u etkiliyor


Oligo Security araştırmacıları, Chrome, Safari ve Firefox’u etkileyen “0.0.0.0-Day” güvenlik açığının saldırganlar tarafından dahili ağlardaki hizmetlere erişmek için kullanılabileceğini ve kullanıldığını ortaya koydu.

Güvenlik açığı, popüler tarayıcıların harici, herkese açık web sitelerinden gelen ağ isteklerini nasıl ele aldığından kaynaklanıyor ve saldırganların ayarları değiştirmesine, korunan bilgilere erişmesine, kötü amaçlı modeller yüklemesine ve hatta uzaktan kod yürütmesine olanak tanıyabiliyor.

Bu yöntemi kötüye kullanarak yapılan saldırılar macOS ve Linux’taki savunmasız tarayıcılarda başarılı olabiliyor, ancak Windows’ta başarılı olamıyor çünkü 0.0.0.0 IPv4 adresini engelliyor.

Güvenlik açığı

0.0.0.0-Day, kötü amaçlı bir web sitesinin (JavaScript aracılığıyla) 0.0.0.0 IPv4 adresine ve belirli bir bağlantı noktasına bir istek göndermesine olanak tanır ve güvenlik açığı olan bir tarayıcı bu isteği ana bilgisayardaki (yerel ağdaki) o bağlantı noktasında çalışan bir hizmete iletir.

Araştırmacılar, “Sonuç olarak, görünüşte zararsız olan 0.0.0.0 IP adresi, saldırganların geliştirme, işletim sistemleri ve hatta dahili ağlar için kullanılanlar da dahil olmak üzere yerel hizmetleri istismar etmek için güçlü bir araç haline gelebilir” dedi.

Güvenlik açığı bulunan yerel uygulamaları araştırdıklarında birkaç tane ortaya çıktı.

“Tarayıcıdan güvenlik açığı olabilecek yerel bir uygulama bulmak için öncelikle bir HTTP’ye ihtiyacımız vardı [i.e., web] “Yerel bir portta (localhost ağ arayüzü) çalışan sunucu” diye açıkladılar.

“Bu güvenlik açığını uzaktan kod yürütme yoluyla tam olarak istismar etmek için, hizmetin dosyaları ve yapılandırmaları yazabilen, ayarlayabilen veya değiştirebilen bir HTTP rotasına sahip olması gerekiyordu. Tekrar, seçim yapmakta zorlanıyorduk: gerçek dünya uygulamalarının birçok uç noktası vardır ve yerel hizmetler bu güvenlik ihlallerini yapar, bu da saldırganlar için harika bir haberdir.”

Düzeltmeler üzerinde çalışılıyor

Araştırmacılar, tarayıcıların CORS (Çapraz Kaynak Paylaşımı) korumasının, siteler arası istek sahteciliği (CSRF) saldırılarına karşı koruma sağladığını, ancak “performansının yanıt içeriğine bağlı olduğunu, bu nedenle istekler yine de yapılabildiğini ve gönderilebildiğini” belirttiler.

“Opak istekler ‘no-cors’ modunda gönderilebilir ve sunucuya başarılı bir şekilde ulaşabilir; eğer yanıtları umursamıyorsak.”

Özel Ağ Erişimi (PNA) belirtimi, genel, özel ve yerel ağlar arasında bir ayrım yapar ve daha az güvenli bir bağlam (genel ağ) altında yüklenen sayfaların daha güvenli bağlamlarla (özel ağ, yerel cihaz) iletişim kurmasını önler, ancak istek 0.0.0.0 adresine gönderildiğinde çalışmaz.

Neden? Bunun basit nedeni, mevcut PNA spesifikasyonuna göre özel veya yerel olarak kabul edilen IP segmentlerinin listesinin 0.0.0.0’ı içermemesidir:

güvenlik açığı Chrome Safari Firefox

PNA, Chrome ve Safari tarafından kullanılır ancak Firefox’ta hiçbir zaman uygulanmamıştır. Oligo araştırmacıları bu açığı bu tarayıcıların üreticilerine bildirdiğinden beri:

  • Google, Chromium 128’den (şu anda beta aşamasında) başlayarak 0.0.0.0’a erişimi engellemeye başlayacak ve Chrome 133’e kadar süreci tamamlayacak
  • Apple, WebKit tarayıcı motorunu değiştirerek 0.0.0.0 sürümüne erişimi engelledi ve bu değişikliği yeni macOS sürümünde sunacak (ayarları uzaktan değiştirme, korunan bilgilere yetkisiz erişim sağlama ve bazı durumlarda uzaktan kod yürütme.)
  • Mozilla, Fetch spesifikasyonunu 0.0.0.0’ı engelleyecek şekilde değiştirdi ve araştırmacılara göre “belirsiz bir gelecekte 0.0.0.0, Firefox tarafından engellenecek ve PNA uygulamasına bağlı kalmayacak.”

Bu arada geliştiricilerin, araştırmacılar tarafından özetlenen korumaları uygulayarak yerel uygulamalarını korumaları gerekiyor.

“Chromium’daki sayaçlara göre, 0.0.0.0 ile iletişim kuran web sitelerinin yüzdesinin arttığını belirtmekte fayda var. Bu sayfalar kötü amaçlı olabilir ve şu anda yüzde tüm web sitelerinin %0,015’inde. Ağustos 2024 itibarıyla dünyada 200 milyon web sitesi varken, ~100 bin kadar halka açık web sitesi 0.0.0.0 ile iletişim kuruyor olabilir,” diye uyardılar.




Source link