0.0.0.0 Day: 18-Year-Old Browser Vulnerability Impacts MacOS and Linux Devices
2024/08/08 TheHackerNews — 悪意の Web サイトが全ての主要な Web ブラウザに影響を与える、新しい脆弱性 “0.0.0.0 Day” が、サイバーセキュリティ研究者たちにより発見された。この脆弱性には、ローカル・ネットワークへの侵入に悪用さえる可能性のあるという。Oligo Security の研究者である Avi Lumelsky は、この脆弱性について、「ブラウザがネットワーク・リクエストを処理する方法における、根本的な欠陥を露呈している。この脆弱性の悪用に成功した攻撃者は、ローカル・デバイス上で実行されている、機密性の高いサービスにアクセスする可能性を得る」と述べている。
イスラエルのアプリケーション・セキュリティ企業である Oligo Security は、この脆弱性の影響は広範囲に及び、セキュリティ・メカニズムの一貫性のない実装と、各種ブラウザ間での標準化の欠如に起因していると述べている。
その結果、”0.0.0.0″ といった一見無害に見える IP アドレスが、ローカル・サービスを悪用するために武器化され、ネットワーク外の攻撃者からの不正アクセスやリモート・コード実行につながる可能性が生じる。この抜け穴は、2006年から存在していたと言われている。
0.0.0.0 Day は Google Chrome/Chromium、Mozilla Firefox や Apple Safari に影響を与え、MacOS や Linux 上でローカルに動作するソフトウェアと、外部 Web サイトとの間での通信を可能にする。Windows デバイスに関しては、Microsoft が OS レベルで IP アドレスをブロックしているため、影響は受けない。
特に、”.com” で終わるドメインを使用しているパブリックな Web サイトは、”localhost/127.0.0.1″ とは対照的に、”0.0.0.0″ というアドレスを使用することで、ローカル・ネットワーク上で実行されているサービスと通信し、訪問者のホスト上で任意のコードを実行できることが、Oligo Security により発見された。
別の見方をすると、これは PNA (Private Network Access) のバイパスでもある。PNA は、パブリックな Web サイトが、プライベート・ネットワーク内のエンドポイントに直接アクセスすることを、禁止するように設計されている。
localhost 上で実行され、”0.0.0.0″ 経由でアクセスできる全てのアプリケーションは、細工されたペイロードを持つ POST リクエストを “0.0.0[.]0:4444” にディスパッチすることで、リモートからコードを実行される可能性があるが、その対象には ローカルの Selenium Grid インスタンスも含まれる。
2024年4月の調査結果を受けて、それぞれの Web ブラウザは “0.0.0.0” へのアクセスを完全にブロックし、パブリック Web サイトからプライベート・ネットワークのエンドポイントへのダイレクト・アクセスを、非推奨にすると予想される。
Lumelsky は、「サービスが localhost を使う場合、制約のある環境を想定している。
今回の脆弱性の場合のように、この仮定が誤っている可能性があり、結果として安全でないサーバ実装をもたらす。”0.0.0.0″ と ‘no-cors’ モードを併用することで、攻撃者はパブリック・ドメインを使って localhost 上で動作しているサービスを攻撃し、さらにはリモート・コード実行を試行する機会を得る」と説明している。
ちょっと分かり難いところがあったので、Gigazine の記事も見てみました。そこには、「悪意あるコードを含む Web サイトやメールを作成し、アクセスしてきた攻撃対象のローカル環境に侵入できる」と記されていました。なにやら、続報がありそうな脆弱性という感じです。引き続き、注視していきたいと思います。
IoT OT Security News 
You must be logged in to post a comment.