Tehdit aktörleri genellikle web tarayıcılarındaki güvenlik açıklarını hedef alır ve bunları kullanırlar; çünkü web tarayıcılarındaki açıkları istismar etmek, onların yetkisiz erişim sağlamalarına ve çeşitli yasa dışı faaliyetlerde bulunmalarına olanak tanır.
Bununla da kalmayıp tehdit aktörleri tarayıcılardaki güvenlik açıklarından faydalanarak çok az çabayla geniş bir saldırı yüzeyi elde edebiliyorlar.
Oligo Security araştırma ekibindeki siber güvenlik araştırmacıları, saldırganların tüm tarayıcı güvenliğini aşmasını sağlayan 18 yıllık bir güvenlik açığı olan 0.0.0.0 gününü keşfetti.
Teknik Analiz
Tüm popüler web tarayıcılarını (Chromium, Firefox ve Safari) etkileyen ve harici web sitelerinin macOS ve Linux’ta yerel olarak çalıştırılan yazılımlarla arayüz oluşturmasına olanak tanıyan büyük bir güvenlik sorunudur.
“Ow.night” olarak bilinen güvenlik açığı, kullanılan tarayıcıya göre güvenlik mekanizmalarının farklı şekillerde uygulanması ve bu sektörde ortak bir standart bulunmamasından kaynaklanıyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Bu güvenlik açığı, kötü amaçlı web sitelerinin tarayıcı güvenliğini aşarak kuruluşun yerel ağ servisleriyle iletişim kurmasına olanak tanıyor; bu da, kuruluşun ağının dışında bulunan bilgisayar korsanlarının yetkisiz erişimine ve bu yerel servisler üzerinde uzaktan kod çalıştırılmasına yol açabiliyor.
Sonuç olarak, saldırganlar oldukça zararsız bir 0.0.0.0 IP adresini kullanarak, geliştirme amaçlı olarak yerel servisleri ve dahili ağlar da dahil olmak üzere işletim sistemlerini hedef alabilirler.
Bu güvenlik açığının acil olduğu, ShadowRay’in yakın zamanda aktif kampanyalarının keşfedilmesiyle bir kez daha ortaya çıktı.
Oligo araştırmacıları bulgularını tüm büyük tarayıcıların güvenlik ekipleriyle paylaştı ve tarayıcı satıcıları güvenlik sorununu tespit etti.
İlgili standart değişiklikleri işleniyor ve 0.0.0.0 adreslerini kabul etmeyecek bazı tarayıcı düzeyindeki hafifletmelerin yakında etkinleştirilmesi planlanıyor.
Ancak karmaşık yapısı ve kesin bir standardının olmaması nedeniyle bu güvenlik açığı hala saldırı altında olup, harici web sitelerinin localhost üzerindeki servislere erişmesine izin vermektedir.
Bu durum, bu temel güvenlik açığını giderebilecek ve kullanıcıları ve kuruluşları potansiyel “0.0.0.0 Günü”nden koruyabilecek ortak bir tarayıcı endüstrisi standardına olan ihtiyacı göstermektedir.
Bu kritik kusur, genel web sitelerinin tarayıcı korumalarını geçersiz kılmasına ve yerel ağ hizmetlerine erişmesine olanak tanıyordu; bu da uzaktan kod yürütülmesine neden olabiliyordu.
Güvenlik açığı ilk olarak 0.0.0.0’ı özel IP adresi olarak kabul etmeyen Özel Ağ Erişimi (PNA) standardından kaynaklanıyordu.
Bu silme, saldırganların yerel kaynaklara ulaşmak için kamuya açık alanları kullanmalarına ve aynı zamanda CORS kısıtlamalarını atlatmalarına ve yerel bilgisayara yüklenen Ray çerçeveleri veya Selenium Grid ve PyTorch TorchServe’deki kusurlardan yararlanmalarına olanak sağladı.
Araştırmacılar, yerel ağ erişimini güvence altına almak için kapsamlı ve standart bir yaklaşımın sağlanmasının ne kadar önemli olduğunu göstermek amacıyla yalnızca bir HTTP isteği kullanılarak bu yerel uygulamalara yetkisiz erişim ve kontrol sağlanmasına dair bir örnek sundular.
Bu açıklamanın çeşitli tarayıcılardaki bu güvenlik açığının giderilmesine nasıl yardımcı olduğu ve sorumlu bir açıklamanın internet güvenliğinin iyileştirilmesine nasıl yardımcı olduğunu göstermesi inanılmaz.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- PNA başlıklarını uygulayın.
- DNS yeniden bağlanmasını önlemek için HOST başlıklarını doğrulayın.
- Localhost için yetkilendirme katmanları ekleyin.
- HTTPS kullanın.
- CSRF tokenlarını uygulayın.
- Tarayıcıların dahili IP’lere yönlendirme yaptığını unutmayın.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download