网络安全研究人员发现新的“0.0.0.0 Day”漏洞,影响所有主要网络浏览器,恶意网站可以利用这个漏洞入侵本地网络。
该关键漏洞“揭示了浏览器处理网络请求的方式中存在的根本缺陷,可能让恶意行为者有机会访问本地设备上的敏感服务,”Oligo Security 研究员 Avi Lumelsky 如此表示。[链接]提到这是零日漏洞。
以色列的应用安全公司指出,该漏洞的影响深远,这源于安全机制执行不一致以及不同浏览器之间的标准化不足。
因此,看似无害的IP地址,如0.0.0.0,可以被利用来攻击本地服务,导致未经授权的访问和远程代码执行,从而使网络外部的攻击者能够未经授权访问和执行远程代码。据称该漏洞自2006年以来一直存在。
0.0.0.0这一天影响Google Chrome/Chromium、Mozilla Firefox和Apple Safari,使得外部网站可以与在MacOS和Linux上本地运行的软件进行通信。它不会影响Windows设备,因为微软在操作系统层面阻止了该IP地址的访问。
特别地,Oligo Security 发现,使用“.com”作为域名的公共网站可以通过使用地址0.0.0.0(而不是localhost或127.0.0.1)与本地网络上的服务通信,并在访客的主机上执行任意的恶意代码。
这也是绕过私人网络访问(PNA)的一种方式,该功能旨在防止公共网站直接访问私人网络中的内部资源。这里的“端点”指的是内部网络中的设备或服务。
运行在本地主机并通过0.0.0.0可以访问的任何应用程序可能被远程代码执行所利用,包括通过向0.0.0.0:4444发送一个精心构造的负载的POST请求来远程控制本地的Selenium Grid实例。
针对2024年4月的发现,网络浏览器预计将在之后全面禁止访问0.0.0.0,从而淘汰直接从公共网站访问私有网络端点的做法。
“当服务使用localhost(本地主机)时,它们假设了一个受限的环境,”Lumelsky解释说。“这种假设(就像这个漏洞所显示的)可能出错,从而导致不安全的服务器实现。”
“通过使用0.0.0.0地址与使用 no-cors 模式,攻击者可以利用公开的域名来攻击运行于本地主机上的服务,甚至实现任意代码执行(RCE),只需一个HTTP请求即可。”
共同学习,写下你的评论
评论加载中...
作者其他优质文章
