La vulnérabilité « 0.0.0.0-Day » affecte les navigateurs Chrome, Safari et Firefox
Une vulnérabilité surnommée "0.0.0.0-Day" affecte les navigateurs Google Chrome, Safari et Mozilla Firefox ! Elle a déjà été exploitée pour accéder à des services hébergés sur des machines. Faisons le point sur cette menace.
Un nouveau rapport publié par les chercheurs en sécurité d'Oligo Security met en lumière la faille de sécurité "0.0.0.0-Day" présente dans les navigateurs depuis au moins 18 ans ! En effet, comme le montre cette page, elle a été divulguée il y a bien longtemps et elle reste encore aujourd'hui exploitable... Bien qu'elle soit sur le point d'être corrigée.
Il est à noter qu'elle a déjà été exploitée par les cybercriminels, au sein de plusieurs campagnes malveillantes. Oligo Security mentionne plusieurs événements, dont la campagne ShadowRay qui cible les charges de travail d'IA fonctionnant sur les machines des développeurs (via la solution Ray). Ceci a pu permettre d'exécuter du code sur la machine ciblée, voire d'exécuter un reverse shell.
La faille de sécurité "0.0.0.0-Day"
Si la vulnérabilité a été surnommée "0.0.0.0-Day", ce n'est pas un hasard. Cette vulnérabilité permet à un site web malveillant d'envoyer une requête à l'adresse IPv4 "0.0.0.0" sur un port spécifique. De ce fait, un navigateur vulnérable transmettra cette requête à un service fonctionnant sur ce port sur l'hôte local, et potentiellement accessible sur le réseau local.
"En conséquence, l'adresse IP apparemment inoffensive, 0.0.0.0, peut devenir un outil puissant pour les attaquants afin d'exploiter les services locaux, y compris ceux utilisés pour le développement, les systèmes d'exploitation et même les réseaux internes.", précise le rapport d'Oligo Security.
Cette vulnérabilité réside dans une mauvaise gestion et interprétation de l'adresse IPv4 "0.0.0.0", qui est particulière, et qui généralement, représente toutes les adresses IP de la machine locale (ou toutes les interfaces réseau).
Pour une fois, les utilisateurs de Windows peuvent avoir le sourire : ils ne sont pas vulnérables à cette faille de sécurité, car Windows bloque cette adresse IP. À l'inverse, les machines sous Linux et macOS sont potentiellement vulnérables, en fonction du navigateur utilisé.
Les chercheurs en sécurité précisent que les mécanismes de protection "Cross-Origin Resource Sharing" (CORS) et "Private Network Access" (PNA) sont inefficaces face à ce problème de sécurité, car elles ne considèrent pas l'adresse "0.0.0.0".
Comment se protéger ?
Quelles sont les réponses de Google, Apple et Mozilla ? Grâce au travail des chercheurs d'Oligo Security, il semblerait qu'il y ait du mouvement.
Du côté de Google Chrome, la décision a été prise de bloquer les communications vers l'adresse IPv4 "0.0.0.0" (via NPA) afin d'empêcher l'exploitation de cette vulnérabilité. Ce changement sera introduit dans les futures versions de Google Chrome, de façon progressive, entre la version 128 et la version 133. Ceci s'applique aussi à Edge, le navigateur de Microsoft, puisqu'il est basé sur Chromium (comme d'autres navigateurs).
Le navigateur Mozilla Firefox n'intègre pas la fonction NPA, mais son développement est en cours. En attendant, il est possible qu'une solution temporaire soit proposée, bien que pour le moment, aucune date ne soit communiquée. Un utilisateur évoque d'ailleurs la création d'une extension Firefox pour bloquer l'accès sur cette adresse IP. Une extension codée à l'aide de ChatGPT, comme il le mentionne sur le GitHub de son projet.
Enfin, Apple a déployé des contrôles supplémentaires pour Safari, via des changements sur WebKit, afin de bloquer les accès sur 0.0.0.0. Ceci sera introduit dans la version 18 (à venir).
Nous pouvons constater que les mesures de sécurité seront déployées prochainement auprès des utilisateurs. En attendant, les utilisateurs de ces navigateurs sur Linux et macOS restent vulnérables. Ceci est d'autant plus vrai lorsque la machine utilisée pour naviguer sur Internet héberge également des services en local.
