Siber güvenlik araştırmacıları, tüm büyük web tarayıcılarını etkileyen yeni bir “0.0.0.0 Gün” hatası keşfettiler. Güvenlik açığının etkilerinin çok geniş kapsamlı olduğunu belirten İsrailli güvenlik firması Oligo’dan Güvenlik araştırmacısı Avi Lumelsky, kritik güvenlik açığının, tarayıcıların ağ isteklerini ele alış tarzına ilişkin temel bir kusuru ortaya çıkardığını ve kötü niyetli kişilerin yerel cihazlarda çalışan hassas hizmetlere erişmesine olanak tanıdığını söyledi ve açığın, güvenlik mekanizmalarının tutarsız uygulanması ile farklı tarayıcılar arasında standartlaştırma eksikliğinden kaynaklandığını belirtti.
Sonuç olarak, 0.0.0.0 gibi görünüşte zararsız bir IP adresi, yerel hizmetleri istismar etmek için kullanılabilir ve bu da saldırganların ağ dışından yetkisiz erişim ve uzaktan kod yürütmesine neden olabilir. Bu açığın 2006’dan beri var olduğu söyleniyor.
0.0.0.0 Day, harici web sitelerinin MacOS ve Linux’ta yerel olarak çalışan yazılımlarla iletişim kurmasını sağlayan Google Chrome/Chromium, Mozilla Firefox ve Apple Safari’yi etkiliyor. Microsoft, IP adresini işletim sistemi düzeyinde engellediğinden Windows cihazlarını etkilemiyor.
Oligo Security, özellikle “.com” ile biten alan adlarını kullanan genel web sitelerinin, yerel ağda çalışan servislerle iletişim kurabildiğini ve ziyaretçinin ana bilgisayarında localhost/127.0.0.1 adresini kullanmak yerine 0.0.0.0 adresini kullanarak rastgele kod çalıştırabildiğini tespit etti. Bu aynı zamanda, genel web sitelerinin özel ağlar içerisinde bulunan uç noktalara doğrudan erişmesini engellemek için tasarlanmış olan Özel Ağ Erişiminin (PNA) de atlanması anlamına geliyor.
Localhost’ta çalışan ve 0.0.0.0 üzerinden erişilebilen herhangi bir uygulama, 0.0.0[.]0:4444 adresine hazırlanmış bir yük ile bir POST isteği göndererek yerel Selenium Grid örnekleri de dahil olmak üzere uzaktan kod yürütülmesine karşı hassas olabilir. Nisan 2024’teki bulgulara yanıt olarak, web tarayıcılarının 0.0.0.0’a erişimi tamamen engellemesi ve böylece genel web sitelerinden özel ağ uç noktalarına doğrudan erişimi devre dışı bırakması bekleniyor.
Lumelsky şunları ekledi :
“Hizmetler localhost kullandığında, kısıtlı bir ortam varsayarlar. Bu varsayım, (bu güvenlik açığı durumunda olduğu gibi) hatalı olabilir ve güvenli olmayan sunucu uygulamalarıyla sonuçlanır.0.0.0.0’ı ‘no-cors’ moduyla birlikte kullanarak, saldırganlar genel etki alanlarını kullanarak localhost’ta çalışan servislere saldırabilir ve hatta tek bir HTTP isteği kullanarak rastgele kod yürütme (RCE) elde edebilirler.”