18 jaar oude browserkwetsbaarheid heeft invloed op MacOS- en Linux-apparaten

Cybersecurity-onderzoekers hebben een nieuwe “0.0.0.0 Dag” ontdekt die gevolgen heeft voor alle grote webbrowsers en die door kwaadaardige websites kan worden misbruikt om lokale netwerken binnen te dringen.

Volgens Avi Lumelsky, onderzoeker bij Oligo Security, “ligt deze kritieke kwetsbaarheid een fundamenteel gebrek bloot in de manier waarop browsers netwerkverzoeken verwerken, waardoor kwaadwillenden mogelijk toegang krijgen tot gevoelige services die op lokale apparaten worden uitgevoerd.”

Het Israëlische applicatiebeveiligingsbedrijf zegt dat de gevolgen van de kwetsbaarheid verstrekkend zijn en dat deze voortkomt uit de inconsistente implementatie van beveiligingsmechanismen en een gebrek aan standaardisatie tussen verschillende browsers.

Als gevolg hiervan zou een ogenschijnlijk onschadelijk IP-adres zoals 0.0.0.0 kunnen worden gebruikt als wapen om lokale services te exploiteren, wat resulteert in ongeautoriseerde toegang en uitvoering van externe code door aanvallers buiten het netwerk. Er wordt gezegd dat het lek er al is sinds 2006.

0.0.0.0 Day heeft invloed op Google Chrome/Chromium, Mozilla Firefox en Apple Safari, waardoor externe websites kunnen communiceren met software die lokaal op MacOS en Linux draait. Het heeft geen invloed op Windows-apparaten, omdat Microsoft het IP-adres op het niveau van het besturingssysteem blokkeert.

Oligo Security ontdekte met name dat openbare websites die domeinen gebruiken die eindigen op “.com” kunnen communiceren met services die op het lokale netwerk draaien en willekeurige code kunnen uitvoeren op de host van de bezoeker door het adres 0.0.0.0 te gebruiken in plaats van localhost/127.0.0.1.

Browserkwetsbaarheid

Het is ook een omzeiling van Private Network Access (PNA), dat is ontworpen om te voorkomen dat openbare websites rechtstreeks toegang krijgen tot eindpunten binnen privénetwerken.

Elke applicatie die op localhost draait en bereikbaar is via 0.0.0.0 is waarschijnlijk vatbaar voor uitvoering van externe code, inclusief lokale Selenium Grid-instanties door het verzenden van een POST-verzoek naar 0.0.0(.)0:4444 met een geprepareerde payload.

Naar aanleiding van de bevindingen van april 2024 wordt verwacht dat webbrowsers de toegang tot 0.0.0.0 volledig zullen blokkeren, waardoor directe toegang tot privénetwerkeindpunten vanaf openbare websites niet meer mogelijk is.

“Wanneer services localhost gebruiken, gaan ze uit van een beperkte omgeving,” zei Lumelsky. “Deze aanname, die (zoals in het geval van deze kwetsbaarheid) fout kan zijn, resulteert in onveilige serverimplementaties.”

“Door 0.0.0.0 te gebruiken in combinatie met de modus ‘no-cors’, kunnen aanvallers publieke domeinen gebruiken om services aan te vallen die op localhost draaien en zelfs willekeurige code-uitvoering (RCE) verkrijgen, allemaal met behulp van één enkele HTTP-aanvraag.”

Thijs Van der Does