Четирите нули, които държат света в опасност вече 18 години
Как една накърнимост в браузърите разрешава на хакерите да получат достъп до частните мрежи посредством IP адреса 0.0.0.0.
Според изследване, оповестено в средата на тази седмица, през последните 18 години най-големите браузъри в света са оставяли малка врата за хакерите да проникват в частните мрежи на домовете и фирмите.
Apple, Гугъл и Mozilla работят по отстраняването на уязвимостта, която включва обработката от страна на браузърите на поръчки към IP адреса 0.0.0.0. Браузърите Chrome, Safari и Firefox одобряват поръчки към 0.0.0.0, като ги пренасочват към други IP адреси, в това число „ localhost “ – име на хост в мрежа или компютър, който нормално е частен и се употребява за тестване на код, както и за противоположна връзка. Изследователи от израелския стартъп за киберсигурност Oligo откриха, че хакерите употребяват тази накърнимост, като изпращат злонамерени поръчки към IP адреса 0.0.0.0 на своите цели, което им разрешава да получат достъп до данни, за които се допуска, че са частни. Този тип офанзива получи името „ 0.0.0.0.0-day„.
При една типична офанзива от този вид хакерът подмамва жертвата да посети неговия уеб уебсайт, който наподобява безопасен, само че изпраща злонамерена поръчка за достъп до файлове през адреса 0.0.0.0. Като образци за тази информация могат да се посочат данните на разработчиците и вътрешните известия. Най-важното обаче е, че потреблението на офанзивата „ 0.0.0.0-day “ разрешава на хакера да получи достъп до вътрешната частна мрежа на жертвата, което отваря необятен набор от вероятни вектори за офанзива.
Тези офанзиви могат да обиден хора и компании, които хостват уеб сървъри, което обгръща забележителен брой уязвими системи. Изследователите са открили, че могат да започват злотворен код и на сървър, който употребява фреймуърка Ray AI за образование на ИИ модели, употребявани от огромни компании като Amazon и Intel. Проблемът визира освен Ray, само че и всяко приложение, което употребява localhost и може да бъде налично през адрес 0.0.0.0.0.
Подобни офанзиви към този момент са регистрирани. През месец юни тази година откривателят по сигурността на Гугъл Дейвид Ейдриън заяви за няколко случая на злотворен програмен продукт, употребяващ тази накърнимост, с цел да нападна избрани принадлежности за разработка. Интересно е, че Windows системите не са наранени от тази накърнимост, защото Microsoft блокира 0.0.0.0.0 в своята операционна система.
Apple разгласи, че възнамерява да блокира всички опити за достъп до IP адрес 0.0.0.0 в идната бета версия на macOS 15 Sequoia. Мярката има за цел да усъвършенства сигурността на операционната система.
Екипите за разработка на Chromium и Chrome на Гугъл също имат намерение да вкарат сходно блокиране в своите браузъри. Все още обаче няма публични мнения от страна на компанията.
Mozilla, основателят на Firefox, към този момент се въздържа от сходно решение. Причината се крие в евентуалните проблеми със съвместимостта: някои сървъри употребяват адреса 0.0.0.0 вместо localhost и блокирането му може да наруши работата им.
Тези промени отразяват възходящото внимание, което софтуерните колоси отделят на киберсигурността и отбраната на данните на потребителите.
Изследователите считат, че рискът от оставянето на отворен адрес 0.0.0.0 продължава да е забележителен. Според тях разрешаването на достъпа до този IP адрес отваря достъпа до доста данни, които дълго време са били блокирани.
Изследователите възнамеряват да показват своите констатации на конференцията DEF CON в Лас Вегас този уикенд.
