Oligo Security araştırmacıları, Chromium, Firefox ve Safari de dahil olmak üzere tüm büyük web tarayıcılarını etkileyen “0.0.0.0 Day” adı verilen 18 yıllık kritik bir güvenlik açığı keşfettiler.
Bu güvenlik açığı, kötü amaçlı web sitelerinin tarayıcı güvenliğini aşmasını ve bir kuruluşun yerel ağında çalışan hizmetlerle etkileşime girmesini sağlayarak, ağın dışındaki saldırganlar tarafından yerel hizmetlere yetkisiz erişime ve uzaktan kod yürütülmesine yol açabilir.
Sorun, tarayıcı sektöründe standartlaştırma eksikliğinin yanı sıra, farklı tarayıcılar arasında güvenlik mekanizmalarının tutarsız uygulanmasından kaynaklanıyor.
Özellikle, sıklıkla yer tutucu veya varsayılan adres olarak kullanılan 0.0.0.0 IP adresi, saldırganlar tarafından geliştirme, işletim sistemleri ve hatta dahili ağlar için kullanılanlar da dahil olmak üzere yerel hizmetlere erişmek için kullanılabilir.
0.0.0.0 Day’in etkisi önemlidir ve bireyleri ve kuruluşları aynı şekilde etkiler. Tarayıcı güvenliğini aşma yeteneğiyle saldırganlar, yerel cihazlarda çalışan hassas hizmetlere erişim sağlayabilir ve bu da yetkisiz erişime, veri ihlallerine ve hatta uzaktan kod yürütmeye yol açabilir.
2006’dan kalma bir hata raporu, tarayıcıların daha az özel bağlamlardan yerel veya dahili ağlara istek gönderilmesine izin vermesiyle ilgili uzun süredir devam eden sorunu vurgulamaktadır. Çok sayıda yorum ve önceliklendirmeye rağmen, hata bugün bile açık kalmaktadır.
Tarayıcı sektöründeki standartlaşma eksikliği, güvenlik mekanizmalarının tutarsız uygulanmasına yol açarak 0.0.0.0 Day gibi güvenlik açıklarının oluşmasına neden oldu.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download
0.0.0.0 Day Tarayıcı Güvenliğini Nasıl Aşar
Bu açığı anlayabilmek için tarayıcı güvenliğini ve 0.0.0.0 gibi IP adreslerinin rolünü anlamak gerekiyor.
Tarayıcılar her zaman bir güvenlik hedefi olmuştur ve bu durum, sanal alan ve yalnızca HTTPS çerezleri gibi çığır açan güvenlik kavramlarını ortaya çıkarmıştır.
0.0.0.0 IP adresinin, yer tutucu veya varsayılan adres dahil olmak üzere birden fazla kullanımı vardır. Ancak, IPv4’te hedef adres olarak kullanımı yasaktır ve yalnızca belirli koşullar altında kaynak adres olarak kullanılmasına izin verilir.
Buna rağmen, 0.0.0.0 çeşitli bağlamlarda, örneğin belirli etki alanlarını engellemek için /etc/hosts dosyalarında veya tüm IP’lere izin vermek için ağ politikalarında kullanılmıştır.
Dijital olarak web sitesi kullanıcılarının “parmak izi” alma, geri dönen kullanıcıları belirlemek de dahil olmak üzere çeşitli amaçlar için kullanılan bilinen bir tekniktir. Ancak, tehdit aktörleri bu tekniği kimlik avı kampanyaları için istihbarat toplamak amacıyla da kullanabilir.
0.0.0.0 Day güvenlik açığının kullanılması, saldırganların kullanıcıları tarayarak açık portların ve güvenlik açığı bulunan servislerin tespit edilmesine olanak sağlıyor.
Google’ın Özel Ağ Erişimi’ni (PNA) tanıtması, web sitelerinin özel ağlardaki sunuculara istek gönderme yeteneğini kısıtlayarak CORS’u genişletmeyi amaçlamaktadır. PNA, genel, özel ve yerel ağlar arasında ayrım yapmayı ve isteklerin daha güvenli bağlamlara gönderilmesini önlemeyi önermektedir.
Mevcut PNA spesifikasyonuna göre, aşağıdaki IP segmentleri özel veya yerel olarak kabul edilir:
Oligo Security araştırmacıları, 0.0.0.0 adresinin özel veya yerel IP segmentleri listesinde olmadığını ve bu sayede web sitelerinin 0.0.0.0 adresine istek gönderebildiğini keşfetti.
Sorumlu bir açıklamanın ardından, mevcut PNA uygulamasının bu şekilde atlatılması ve tarayıcılardaki içsel kusurlar tüm tarayıcılara bildirildi.
Birçok uygulamanın 0.0.0.0 Day güvenlik açığından etkilenmesi muhtemeldir. Oligo Security’deki araştırmacılar, Ray, Selenium Grid ve Pytorch Torchserve (ShellTorch) dahil olmak üzere birkaç güvenlik açığı olan uygulama buldu. Bu güvenlik açıkları 0.0.0.0 aracılığıyla kullanılabilir ve uzaktan kod yürütülmesine ve yetkisiz erişime yol açabilir.
Sorumlu bir açıklamanın ardından tarayıcı satıcıları güvenlik açığını kabul etti ve tarayıcı düzeyinde hafifletme önlemleri uygulamak için çalışıyor.
Google Chrome (ve Edge gibi Chromium tabanlı tarayıcılar)
- PNA Girişimi: Google öncülüğünde gelişen Özel Ağ Erişimi (PNA).
- Güvenlik Açığı: 0.0.0.0 PNA’yı atlayarak özel IP’lere erişime izin verir.
- Dağıtımı Düzelt: 0.0.0.0’ı Chrome 128’den engelliyor, Chrome 133’te tamamen etkili.
- İstatistik: Web sitelerinin %0,015’i (yaklaşık 100K) 0.0.0.0 ile iletişim kuruyor.
Elma Safarisi
- WebKit Değişiklikleri: Artık 0.0.0.0 erişimini engelliyor.
- Uygulama: Tamamen sıfır olan IP adreslerine yapılan istekler engellenmektedir.
Mozilla Firefox
- Şu anki durum: Hemen bir çözüm yok; PNA başlangıçta uygulanmadı.
- Teknik Özellikler Güncellemesi: Getirme belirtimi 0.0.0.0 bloğuna güncellendi.
- Gelecek planları: PNA’nın uygulanması sonunda 0.0.0.0’ı engelleyecektir.
0.0.0.0 Day güvenlik açığı, tarayıcı endüstrisinin standartlaştırılması ve bu standarda göre Özel Ağ Erişimi’nin (PNA) uygulanması ihtiyacını vurgulamaktadır. PNA tam olarak kullanıma sunulana kadar, genel web siteleri yerel ağdaki hizmetlere başarılı bir şekilde ulaşmak için Javascript kullanarak HTTP istekleri gönderebilir ve bu da potansiyel olarak yetkisiz erişime ve uzaktan kod yürütülmesine yol açabilir.
Are you from SOC and DFIR Teams? – Analyse Live Malware Incidents with ANY.RUN -> Get 14 Days Free Access