Siber güvenlik araştırmacıları, kötü amaçlı web sitelerinin yerel ağlara sızmak için yararlanabileceği, tüm büyük web tarayıcılarını etkileyen yeni bir “0.0.0.0 Günü” keşfetti.
Oligo Güvenlik araştırmacısı Avi Lumelsky, kritik güvenlik açığının “tarayıcıların ağ isteklerini nasıl ele aldığına ilişkin temel bir kusuru ortaya çıkardığını ve kötü niyetli kişilerin yerel cihazlarda çalışan hassas hizmetlere erişmesine olanak tanıdığını” söyledi.
İsrailli uygulama güvenliği şirketi, söz konusu güvenlik açığının etkilerinin çok geniş kapsamlı olduğunu, güvenlik mekanizmalarının tutarsız uygulanması ve farklı tarayıcılar arasında standartlaştırma eksikliğinden kaynaklandığını belirtti.
Sonuç olarak, 0.0.0.0 gibi görünüşte zararsız bir IP adresi, yerel hizmetleri istismar etmek için silahlandırılabilir ve bu da saldırganların ağ dışından yetkisiz erişim ve uzaktan kod yürütmesine neden olabilir. Bu açığın 2006’dan beri var olduğu söyleniyor.
0.0.0.0 Day, harici web sitelerinin MacOS ve Linux’ta yerel olarak çalışan yazılımlarla iletişim kurmasını sağlayan Google Chrome/Chromium, Mozilla Firefox ve Apple Safari’yi etkiler. Microsoft, IP adresini işletim sistemi düzeyinde engellediğinden Windows cihazlarını etkilemez.
Oligo Security, özellikle “.com” ile biten alan adlarını kullanan genel web sitelerinin, yerel ağda çalışan servislerle iletişim kurabildiğini ve ziyaretçinin ana bilgisayarında localhost/127.0.0.1 adresini kullanmak yerine 0.0.0.0 adresini kullanarak rastgele kod çalıştırabildiğini tespit etti.
Bu aynı zamanda, genel web sitelerinin özel ağlar içerisinde bulunan uç noktalara doğrudan erişmesini engellemek için tasarlanmış olan Özel Ağ Erişimi’nin (PNA) de atlanması anlamına geliyor.
Yerel bilgisayarda çalışan ve 0.0.0.0 üzerinden erişilebilen herhangi bir uygulama, 0.0.0’a bir POST isteği göndererek yerel Selenium Grid örnekleri de dahil olmak üzere uzaktan kod yürütülmesine karşı muhtemelen hassastır.[.]0:4444 hazırlanmış bir yük ile.
Nisan 2024’teki bulgulara yanıt olarak, web tarayıcılarının 0.0.0.0’a erişimi tamamen engellemesi ve böylece genel web sitelerinden özel ağ uç noktalarına doğrudan erişimi devre dışı bırakması bekleniyor.
Lumelsky, “Hizmetler localhost kullandığında, kısıtlı bir ortam varsayarlar,” dedi. “Bu varsayım, (bu güvenlik açığı durumunda olduğu gibi) hatalı olabilir ve güvenli olmayan sunucu uygulamalarıyla sonuçlanır.”
“0.0.0.0’ı ‘no-cors’ moduyla birlikte kullanarak, saldırganlar genel etki alanlarını kullanarak localhost’ta çalışan servislere saldırabilir ve hatta tek bir HTTP isteği kullanarak rastgele kod yürütme (RCE) elde edebilirler.”