"0.0.0.0 Day" è una falla vecchia di 18 anni che colpisce i browser

Colpisce Chome, Firefox e Safari e permette l'accesso alle reti locali da siti web malevoli, mettendo a rischio milioni di utenti.

Avatar di Marco Pedrani

a cura di Marco Pedrani

Caporedattore centrale

Un grave bug di sicurezza, denominato "0.0.0.0 Day", permette a siti web malevoli di aggirare le protezioni di Chrome, Firefox e Safari per violare le reti locali. La vulnerabilità, scoperta dal team di ricerca di Oligo Security, esiste da 18 anni e potrebbe consentire l'accesso non autorizzato e l'esecuzione di codice remoto su servizi locali da parte di attaccanti esterni alla rete.

Il problema deriva dall'implementazione incoerente dei meccanismi di sicurezza tra i diversi browser e dalla mancanza di standardizzazione nel settore. L'apparentemente innocuo indirizzo IP 0.0.0.0 può diventare uno strumento potente per gli attaccanti per sfruttare servizi locali, compresi quelli utilizzati per lo sviluppo, i sistemi operativi e persino le reti interne.

I ricercatori sottolineano l'urgenza di affrontare questa vulnerabilità, dato che esistono campagne di sfruttamento attive come ShadowRay. È preoccupante notare che la percentuale di siti web che comunicano con 0.0.0.0 è in aumento, attestandosi attualmente allo 0,015% di tutti i siti web.

Con 200 milioni di siti web nel mondo, fino a ~100.000 siti pubblici potrebbero comunicare con 0.0.0.0.

La vulnerabilità non colpisce i dispositivi Windows, poiché l'indirizzo IP è irraggiungibile su questa piattaforma. Tuttavia, su altri sistemi, i siti web pubblici possono comunicare con servizi in esecuzione sulla rete locale (localhost) e potenzialmente eseguire codice arbitrario sull'host del visitatore utilizzando l'indirizzo 0.0.0.0 invece di localhost/127.0.0.1.

Il bug "0.0.0.0 Day" aggira anche il meccanismo Private Network Access (PNA) sviluppato da Google in Chromium per bloccare l'accesso dei siti web a 127.0.0.1, localhost e altri IP privati tramite Javascript quando caricati da siti pubblici. Inoltre, la falla bypassa il meccanismo Cross Origin Resource Sharing (CORS) per l'integrazione delle applicazioni.

I ricercatori hanno condiviso le loro scoperte con i team di sviluppo dei browser web nell'aprile 2024 e si aspettano che il problema venga completamente risolto. "Grazie alle nostre segnalazioni, i browser hanno dato priorità a queste correzioni e hanno apportato modifiche sostanziali, bloccando 0.0.0.0 come IP di destinazione", concludono gli esperti di Oligo Security.

Leggi altri articoli