Четыре нуля, которые держат мир в опасности 18 лет

Согласно исследованию , опубликованному в среду, на протяжении последних 18 лет крупнейшие браузеры мира оставляли лазейку для хакеров, позволяющую взламывать частные сети домов и компаний.

Браузеры — у каждого из нас есть любимый, и мы все используем их ежедневно. Даже небраузерные приложения часто загружают ресурсы из внешних доменов, как например, при использовании Google Analytics и подобных клиентских SDK или внедрении скриптов или видео.

Браузеры, будучи основным интерфейсом взаимодействия пользователей с интернетом, всегда были привлекательной целью для кибератак. Это постоянное противостояние побуждало разработчиков браузеров внедрять инновационные концепции безопасности:

• Песочницы (Sandboxing): Изолируют выполнение кода веб-страниц, предотвращая прямой доступ к системным ресурсам.
• Secure Cookies: Куки, доступные только через HTTPS, защищают конфиденциальные данные пользователя от перехвата.
• CORS (Cross-Origin Resource Sharing): Механизм, позволяющий серверам указывать, каким доменам разрешено запрашивать их ресурсы, тем самым предотвращая несанкционированный доступ.

Эти меры безопасности направлены на защиту от различных типов атак, в частности:

• CSRF (Cross-Site Request Forgery): Атаки, при которых вредоносный сайт пытается выполнить действия от имени аутентифицированного пользователя на другом сайте.
• XSS (Cross-Site Scripting): Внедрение вредоносных скриптов в веб-страницы, просматриваемые другими пользователями.

Благодаря этим и другим мерам безопасности, современные браузеры создают мощный барьер, защищающий:

• Личные данные пользователей
• Внутренние корпоративные сети
• Локальные приложения на устройствах пользователей

Однако, как показывает недавно обнаруженная уязвимость "0.0.0.0-day", даже при наличии многоуровневой защиты, злоумышленники продолжают искать и находить новые способы обхода существующих мер безопасности. Это подчеркивает необходимость постоянного совершенствования и обновления систем безопасности браузеров.

Браузеры по своему замыслу могут отправлять запросы практически к любому HTTP-серверу с использованием Javascript. При обработке межсайтового ответа механизмы безопасности браузера решают, какое действие предпринять:

• Действительно: Передать данные ответа в контекст Javascript (успех)
• Недействительно: Вернуть маскированный ответ или вызвать специальную ошибку (CORS, SOP, ...).

Но иногда ответ вообще не имеет значения. С уязвимостью 0.0.0.0 Day, одного запроса может быть достаточно, чтобы нанести ущерб.

Суть проблемы

Уязвимость связана с обработкой браузерами запросов к IP-адресу 0.0.0.0. Chrome, Safari и Firefox принимают такие запросы, перенаправляя их на другие IP-адреса, включая "localhost" — обычно приватный сервер, используемый для тестирования кода.

Исследователи из израильского стартапа Oligo обнаружили, что хакеры могут использовать обнаруженную уязвимость для получения доступа к конфиденциальным данным. Этот вид атаки получил название "0.0.0.0-day".

Механизм атаки

Типичная атака выглядит так:

1. Хакер заманивает жертву на свой внешне безобидный сайт.
2. Сайт отправляет вредоносный запрос для доступа к файлам через 0.0.0.0.
3. Атакующий получает доступ к внутренней локальной сети жертвы.

Это открывает широкий спектр возможных векторов атак, включая доступ к данным разработчиков и внутренним сообщениям.

Масштаб проблемы

Атаки могут затрагивать людей и компании, размещающие веб-серверы. Исследователи также обнаружили возможность запуска вредоносного кода на серверах, использующих фреймворк Ray AI для обучения моделей искусственного интеллекта. Этот фреймворк применяется такими гигантами, как Amazon и Intel.

В июне 2023 года разработчик безопасности Google Дэвид Эдриан сообщил о нескольких случаях использования этой уязвимости вредоносным ПО.

Реакция технологических гигантов

• Apple: Планирует блокировать все попытки доступа к IP-адресу 0.0.0.0 в грядущей бета-версии macOS 15 Sequoia.
• Google: Команды Chromium и Chrome намерены реализовать аналогичную блокировку.
• Mozilla: Пока воздерживается от блокировки из-за возможных проблем совместимости.
• Microsoft: Системы Windows не подвержены этой уязвимости, так как 0.0.0.0 уже заблокирован в операционной системе.

Заключение

Исследователи считают, что риск оставления 0.0.0.0 открытым остается значительным. Они планируют представить свои выводы на конференции DEF CON в Лас-Вегасе.

Эта уязвимость подчеркивает необходимость стандартизации механизмов безопасности в браузерах, таких как Private Network Access (PNA), инициатива Google, которая продолжает развиваться. Однако уязвимость 0.0.0.0 обошла текущую реализацию PNA, что привело к необходимости дальнейших улучшений.

Исследователи Oligo также выявили активные кампании эксплуатации, такие как ShadowRay, которые используют эту уязвимость для выполнения кода на удаленных устройствах, что подчеркивает срочность устранения этой проблемы.