Інцидент: IPv4-адреса 0.0.0.0 історично використовувалася як нестандартний «дикий картковий» адрес для ідентифікації всіх IP-адрес, доступних в мережі. Однак дослідники виявили, що ця адреса також може бути джерелом серйозних уразливостей безпеки в доступі до Інтернету.

Згідно з доповіддю Oligo Security, вразливість «0.0.0.0 Day» є серйозною проблемою безпеки, яка може дозволити зловмисним вебсайтам обходити навіть найскладніші захисти браузерів та взаємодіяти з сервісами на локальній мережі. Цю вразливість було «переоткрито» дослідниками, хоча фахівці з кіберзлочинності вже давно намагалися використовувати цей баг.

Дослідники Oligo Security стверджують, що ця вразливість впливає на всі доступні браузери та стосується того, як вони обробляють мережеві запити. Шкідливий вебсайт може намагатися звернутися до неіснуючої IP-адреси 0.0.0.0, відправивши пошкоджений пакет на випадковий порт цієї адреси. Уразливий браузер може перенаправити цей запит, що потенційно дозволить зловмисникам отримати доступ до мережевих сервісів на локальному комп’ютері.

Цікаво, що ця помилка впливає на операційні системи macOS та Linux, але не на Windows. Браузери на основі Chromium, Apple Safari (WebKit) та Mozilla Firefox (Gecko) виявилися вразливими до цього багу. Згідно з обговоренням на платформі Bugzilla, Mozilla бореться з цією проблемою вже 18 років.


Технічний аналіз уразливості 0.0.0.0

Cross-Origin Resource Sharing (CORS) — це специфікація, яка контролює доступ до обмежених мережевих ресурсів, а нова специфікація Private Network Access (PNA) має на меті чітко розділити публічні та непублічні мережі в браузерах. Проте вразливість 0.0.0.0 Day змогла обійти обидва ці заходи.

«Вплив 0.0.0.0 Day є значним і стосується як окремих користувачів, так і організацій», — зазначили дослідники.

Дослідники також виявили активні кампанії з експлуатації цієї вразливості, зокрема атаку ShadowRay проти робочих навантажень на штучному інтелекті. На щастя, користувачі macOS та Linux отримали швидкі оновлення від усіх трьох основних розробників браузерних движків.

Google анонсувала, що браузери Chromium та Chrome незабаром заблокують доступ до адреси 0.0.0.0, з поступовим впровадженням цієї функції, починаючи з версії Chrome 128 і завершуючи версією 133. Apple також оновила код WebKit для блокування доступу до цієї адреси. Mozilla поки що не надала готового рішення, але компанія висловила готовність «завести» обговорення цього питання.

Зазначимо, що Mozilla Firefox ще не реалізувала PNA, оскільки протокол CORS був розроблений з урахуванням зворотної сумісності, зберігаючи при цьому заходи безпеки проти неправомірного доступу до ресурсів локальних мереж. На даний момент Mozilla оновила специфікацію Fetch для блокування доступу до 0.0.0.0.