【 資安警訊 】- Firefox 和 Chrome 中存在 18 年之久的安全漏洞被攻擊
發布編號:OIS-CTI-2024-08-002
情資來源:Bleepingcomputer
事件類型:漏洞警訊公告
內容說明:
18 年前披露的一個名為「0.0.0.0 Day」的漏洞允許惡意網站繞過 Google Chrome、Mozilla Firefox 和 Apple Safari 的安全性並與本地網路上的服務進行互動。
但要注意的是,這只影響 Linux 和 macOS 設備,不適用於 Windows。
儘管 18 年前的2008 年就曾報道過這個問題,但 Chrome、Firefox 和 Safari 上的這個問題仍然沒有得到解決,儘管這三個瀏覽器都承認了這個問題並正在努力解決。
0.0.0.0 Day 缺陷
0.0.0.0 Day 漏洞源自於不同瀏覽器之間的安全機制不一致,以及缺乏允許公共網站使用「通配符」IP 位址 0.0.0.0 與本地網路服務通訊的標準化。
通常,0.0.0.0 表示本機上的所有 IP 位址或主機上的所有網路介面。它可以用作 DHCP 請求中的佔位符位址,或在本地網路中使用時解釋為本機主機 (127.0.0.1)。
惡意網站可以向 0.0.0.0 發送針對用戶本地電腦上執行的服務的 HTTP 請求,由於缺乏一致的安全性,這些請求通常會路由到該服務並進行處理。
Oligo 解釋說,跨來源資源共享 (CORS) 和專用網路存取 (PNA) 等現有保護機制無法阻止這種危險活動。
預設情況下,網頁瀏覽器會阻止網站向第三方網站發出請求並利用傳回的資訊。這樣做是為了防止惡意網站連接到訪客 Web 瀏覽器中可能進行身份驗證的其他 URL,例如網路銀行入口網站、電子郵件伺服器或其他敏感網站。
Web 瀏覽器引入了跨來源資源共享 (CORS),允許網站在明確允許的情況下存取另一個網站的資料。
例如,如果威脅參與者的目標只是到達本機裝置上執行的 HTTP 端點(可用於變更設定或執行任務),則輸出是不必要的。
Oligo 解釋說,專用網路存取 (PNA) 安全功能與 COR 略有不同,它會阻止任何嘗試連接到被視為本地或專用IP 位址的請求。
然而,Oligo 的研究發現,特殊的 0.0.0.0 IP 位址並未包含在受限的 PNA 位址清單中,例如 127.0.0.1,因此實現能力較弱。
因此,如果以「no-cors」模式向此特殊位址發出請求,它可以繞過 PNA 並仍連接到在 127.0.0.1 上執行的 Web 伺服器 URL。
Oligo Security 已發現多個案例,其中「0.0.0.0 Day」漏洞被野地利用。
Oligo 報告稱,自上個月以來,與 0.0.0.0 通訊的公共網站數量突然增加,目前已達到約 10 萬個。
針對 Oligo 揭露的這項活動,網頁瀏覽器開發者終於開始採取行動:
全球最受歡迎的網頁瀏覽器 Google Chrome 已決定採取行動,透過從版本 128(即將推出)到版本 133 逐步推出來阻止對 0.0.0.0 的存取。
Mozilla Firefox並沒有實作 PNA,但它具有很高的開發優先順序。在 PNA 實施之前,已啟動臨時修復程序,但未提供推出日期。
Apple透過更改 WebKit對Safari實施了額外的 IP 檢查,並在版本 18(即將推出)上阻止對 0.0.0.0 的訪問,該版本將隨 macOS Sequoia 一起推出。
影響平台:
Linux
macOS
影響版本:
Google Chrome version 128
Mozilla Firefox
Safari version 18
官方建議措施:
在瀏覽器修復完成之前,Oligo 建議應用程式開發人員實施以下安全措施:
實施 PNA 標頭。
驗證 HOST 標頭以防止 DNS 重新綁定攻擊。
不要信任本機主機-新增授權,即使是在本機。
盡可能使用 HTTPS。
實施 CSRF 令牌,甚至對於本機應用程式也是如此。
最重要的是,開發人員必須記住,在修復程式推出之前,惡意網站仍然有可能將 HTTP 請求路由到內部 IP 位址。因此,他們在開發應用程式時應牢記這項安全考慮。
參考連結: