Четыре нуля, которые держат мир в опасности 18 лет

Четыре нуля, которые держат мир в опасности 18 лет

Как уязвимость в браузерах позволяет хакерам получать доступ к частным сетям через IP 0.0.0.0.

image

Согласно исследованию , опубликованному в среду, на протяжении последних 18 лет крупнейшие браузеры мира оставляли лазейку для хакеров, позволяющую взламывать частные сети домов и компаний.

Браузеры — у каждого из нас есть любимый, и мы все используем их ежедневно. Даже небраузерные приложения часто загружают ресурсы из внешних доменов, как например, при использовании Google Analytics и подобных клиентских SDK или внедрении скриптов или видео.

Браузеры, будучи основным интерфейсом взаимодействия пользователей с интернетом, всегда были привлекательной целью для кибератак. Это постоянное противостояние побуждало разработчиков браузеров внедрять инновационные концепции безопасности:

  • Песочницы (Sandboxing): Изолируют выполнение кода веб-страниц, предотвращая прямой доступ к системным ресурсам.
  • Secure Cookies: Куки, доступные только через HTTPS, защищают конфиденциальные данные пользователя от перехвата.
  • CORS (Cross-Origin Resource Sharing): Механизм, позволяющий серверам указывать, каким доменам разрешено запрашивать их ресурсы, тем самым предотвращая несанкционированный доступ.

Эти меры безопасности направлены на защиту от различных типов атак, в частности:

  • CSRF (Cross-Site Request Forgery): Атаки, при которых вредоносный сайт пытается выполнить действия от имени аутентифицированного пользователя на другом сайте.
  • XSS (Cross-Site Scripting): Внедрение вредоносных скриптов в веб-страницы, просматриваемые другими пользователями.

Благодаря этим и другим мерам безопасности, современные браузеры создают мощный барьер, защищающий:

  • Личные данные пользователей
  • Внутренние корпоративные сети
  • Локальные приложения на устройствах пользователей

Однако, как показывает недавно обнаруженная уязвимость "0.0.0.0-day", даже при наличии многоуровневой защиты, злоумышленники продолжают искать и находить новые способы обхода существующих мер безопасности. Это подчеркивает необходимость постоянного совершенствования и обновления систем безопасности браузеров.

Браузеры по своему замыслу могут отправлять запросы практически к любому HTTP-серверу с использованием Javascript. При обработке межсайтового ответа механизмы безопасности браузера решают, какое действие предпринять:

  • Действительно: Передать данные ответа в контекст Javascript (успех)
  • Недействительно: Вернуть маскированный ответ или вызвать специальную ошибку (CORS, SOP, ...).

Но иногда ответ вообще не имеет значения. С уязвимостью 0.0.0.0 Day, одного запроса может быть достаточно, чтобы нанести ущерб.

Суть проблемы

Уязвимость связана с обработкой браузерами запросов к IP-адресу 0.0.0.0. Chrome, Safari и Firefox принимают такие запросы, перенаправляя их на другие IP-адреса, включая "localhost" — обычно приватный сервер, используемый для тестирования кода.

Исследователи из израильского стартапа Oligo обнаружили, что хакеры могут использовать обнаруженную уязвимость для получения доступа к конфиденциальным данным. Этот вид атаки получил название "0.0.0.0-day".

Механизм атаки

Типичная атака выглядит так:

  1. Хакер заманивает жертву на свой внешне безобидный сайт.
  2. Сайт отправляет вредоносный запрос для доступа к файлам через 0.0.0.0.
  3. Атакующий получает доступ к внутренней локальной сети жертвы.

Это открывает широкий спектр возможных векторов атак, включая доступ к данным разработчиков и внутренним сообщениям.

Масштаб проблемы

Атаки могут затрагивать людей и компании, размещающие веб-серверы. Исследователи также обнаружили возможность запуска вредоносного кода на серверах, использующих фреймворк Ray AI для обучения моделей искусственного интеллекта. Этот фреймворк применяется такими гигантами, как Amazon и Intel.

В июне 2023 года разработчик безопасности Google Дэвид Эдриан сообщил о нескольких случаях использования этой уязвимости вредоносным ПО.

Реакция технологических гигантов

  • Apple: Планирует блокировать все попытки доступа к IP-адресу 0.0.0.0 в грядущей бета-версии macOS 15 Sequoia.
  • Google: Команды Chromium и Chrome намерены реализовать аналогичную блокировку.
  • Mozilla: Пока воздерживается от блокировки из-за возможных проблем совместимости.
  • Microsoft: Системы Windows не подвержены этой уязвимости, так как 0.0.0.0 уже заблокирован в операционной системе.

Заключение

Исследователи считают, что риск оставления 0.0.0.0 открытым остается значительным. Они планируют представить свои выводы на конференции DEF CON в Лас-Вегасе.

Эта уязвимость подчеркивает необходимость стандартизации механизмов безопасности в браузерах, таких как Private Network Access (PNA), инициатива Google, которая продолжает развиваться. Однако уязвимость 0.0.0.0 обошла текущую реализацию PNA, что привело к необходимости дальнейших улучшений.

Исследователи Oligo также выявили активные кампании эксплуатации, такие как ShadowRay, которые используют эту уязвимость для выполнения кода на удаленных устройствах, что подчеркивает срочность устранения этой проблемы.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь