08 de agosto de 2024Ravie LakshmananVulnerabilidad / Seguridad del navegador Los investigadores de ciberseguridad han descubierto un nuevo «Día 0.0.0.0» que afecta a todos los navegadores web principales y que los sitios web maliciosos podrían aprovechar para violar las redes locales. La vulnerabilidad crítica «expone una falla fundamental en la forma en que los navegadores manejan las solicitudes de red, lo que potencialmente otorga a los actores maliciosos acceso a servicios confidenciales que se ejecutan en dispositivos locales», dijo Avi Lumelsky, investigador de Oligo Security. La empresa israelí de seguridad de aplicaciones dijo que las implicaciones de la vulnerabilidad son de gran alcance y que se derivan de la implementación inconsistente de los mecanismos de seguridad y la falta de estandarización en diferentes navegadores. Como resultado, una dirección IP aparentemente inofensiva como 0.0.0.0 podría usarse como arma para explotar servicios locales, lo que resulta en acceso no autorizado y ejecución remota de código por parte de atacantes fuera de la red. Se dice que la falla ha existido desde 2006. 0.0.0.0 Day afecta a Google Chrome/Chromium, Mozilla Firefox y Apple Safari, lo que permite que los sitios web externos se comuniquen con el software que se ejecuta localmente en MacOS y Linux. No afecta a los dispositivos Windows, ya que Microsoft bloquea la dirección IP a nivel del sistema operativo. En particular, Oligo Security descubrió que los sitios web públicos que usan dominios que terminan en «.com» pueden comunicarse con los servicios que se ejecutan en la red local y ejecutar código arbitrario en el host del visitante utilizando la dirección 0.0.0.0 en lugar de localhost/127.0.0.1. También es una evasión del acceso a la red privada (PNA), que está diseñado para prohibir que los sitios web públicos accedan directamente a los puntos finales ubicados dentro de redes privadas. Es probable que cualquier aplicación que se ejecute en el host local y se pueda acceder a través de 0.0.0.0 sea susceptible a la ejecución remota de código, incluidas las instancias locales de Selenium Grid al enviar una solicitud POST a 0.0.0[.]0:4444 con una carga útil diseñada. En respuesta a los hallazgos en abril de 2024, se espera que los navegadores web bloqueen por completo el acceso a 0.0.0.0, lo que desaprobará el acceso directo a los puntos finales de la red privada desde sitios web públicos. «Cuando los servicios usan localhost, asumen un entorno restringido», dijo Lumelsky. «Esta suposición, que puede (como en el caso de esta vulnerabilidad) ser errónea, da como resultado implementaciones de servidor inseguras». «Al usar 0.0.0.0 junto con el modo ‘no-cors’, los atacantes pueden usar dominios públicos para atacar servicios que se ejecutan en localhost e incluso obtener ejecución de código arbitrario (RCE), todo mediante una única solicitud HTTP». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.