Как уязвимость в браузерах позволяет хакерам получать доступ к частным сетям через IP 0.0.0.0.
Согласно исследованию , опубликованному в среду, на протяжении последних 18 лет крупнейшие браузеры мира оставляли лазейку для хакеров, позволяющую взламывать частные сети домов и компаний.
Браузеры — у каждого из нас есть любимый, и мы все используем их ежедневно. Даже небраузерные приложения часто загружают ресурсы из внешних доменов, как например, при использовании Google Analytics и подобных клиентских SDK или внедрении скриптов или видео.
Браузеры, будучи основным интерфейсом взаимодействия пользователей с интернетом, всегда были привлекательной целью для кибератак. Это постоянное противостояние побуждало разработчиков браузеров внедрять инновационные концепции безопасности:
Эти меры безопасности направлены на защиту от различных типов атак, в частности:
Благодаря этим и другим мерам безопасности, современные браузеры создают мощный барьер, защищающий:
Однако, как показывает недавно обнаруженная уязвимость "0.0.0.0-day", даже при наличии многоуровневой защиты, злоумышленники продолжают искать и находить новые способы обхода существующих мер безопасности. Это подчеркивает необходимость постоянного совершенствования и обновления систем безопасности браузеров.
Браузеры по своему замыслу могут отправлять запросы практически к любому HTTP-серверу с использованием Javascript. При обработке межсайтового ответа механизмы безопасности браузера решают, какое действие предпринять:
Но иногда ответ вообще не имеет значения. С уязвимостью 0.0.0.0 Day, одного запроса может быть достаточно, чтобы нанести ущерб.
Уязвимость связана с обработкой браузерами запросов к IP-адресу 0.0.0.0. Chrome, Safari и Firefox принимают такие запросы, перенаправляя их на другие IP-адреса, включая "localhost" — обычно приватный сервер, используемый для тестирования кода.
Исследователи из израильского стартапа Oligo обнаружили, что хакеры могут использовать обнаруженную уязвимость для получения доступа к конфиденциальным данным. Этот вид атаки получил название "0.0.0.0-day".
Типичная атака выглядит так:
Это открывает широкий спектр возможных векторов атак, включая доступ к данным разработчиков и внутренним сообщениям.
Атаки могут затрагивать людей и компании, размещающие веб-серверы. Исследователи также обнаружили возможность запуска вредоносного кода на серверах, использующих фреймворк Ray AI для обучения моделей искусственного интеллекта. Этот фреймворк применяется такими гигантами, как Amazon и Intel.
В июне 2023 года разработчик безопасности Google Дэвид Эдриан сообщил о нескольких случаях использования этой уязвимости вредоносным ПО.
Исследователи считают, что риск оставления 0.0.0.0 открытым остается значительным. Они планируют представить свои выводы на конференции DEF CON в Лас-Вегасе.
Эта уязвимость подчеркивает необходимость стандартизации механизмов безопасности в браузерах, таких как Private Network Access (PNA), инициатива Google, которая продолжает развиваться. Однако уязвимость 0.0.0.0 обошла текущую реализацию PNA, что привело к необходимости дальнейших улучшений.
Исследователи Oligo также выявили активные кампании эксплуатации, такие как ShadowRay, которые используют эту уязвимость для выполнения кода на удаленных устройствах, что подчеркивает срочность устранения этой проблемы.
Одно найти легче, чем другое. Спойлер: это не темная материя