16/12/2024

Actu Cybersécurité

La vulnérabilité « 0.0.0.0-Day » affecte les navigateurs Chrome, Safari et Firefox

Une vulnérabilité surnommée "0.0.0.0-Day" affecte les navigateurs Google Chrome, Safari et Mozilla Firefox ! Elle a déjà été exploitée pour accéder à des services hébergés sur des machines. Faisons le point sur cette menace.

Un nouveau rapport publié par les chercheurs en sécurité d'Oligo Security met en lumière la faille de sécurité "0.0.0.0-Day" présente dans les navigateurs depuis au moins 18 ans ! En effet, comme le montre cette page, elle a été divulguée il y a bien longtemps et elle reste encore aujourd'hui exploitable... Bien qu'elle soit sur le point d'être corrigée.

Il est à noter qu'elle a déjà été exploitée par les cybercriminels, au sein de plusieurs campagnes malveillantes. Oligo Security mentionne plusieurs événements, dont la campagne ShadowRay qui cible les charges de travail d'IA fonctionnant sur les machines des développeurs (via la solution Ray). Ceci a pu permettre d'exécuter du code sur la machine ciblée, voire d'exécuter un reverse shell.

La faille de sécurité "0.0.0.0-Day"

Si la vulnérabilité a été surnommée "0.0.0.0-Day", ce n'est pas un hasard. Cette vulnérabilité permet à un site web malveillant d'envoyer une requête à l'adresse IPv4 "0.0.0.0" sur un port spécifique. De ce fait, un navigateur vulnérable transmettra cette requête à un service fonctionnant sur ce port sur l'hôte local, et potentiellement accessible sur le réseau local.

"En conséquence, l'adresse IP apparemment inoffensive, 0.0.0.0, peut devenir un outil puissant pour les attaquants afin d'exploiter les services locaux, y compris ceux utilisés pour le développement, les systèmes d'exploitation et même les réseaux internes.", précise le rapport d'Oligo Security.

Cette vulnérabilité réside dans une mauvaise gestion et interprétation de l'adresse IPv4 "0.0.0.0", qui est particulière, et qui généralement, représente toutes les adresses IP de la machine locale (ou toutes les interfaces réseau).

Pour une fois, les utilisateurs de Windows peuvent avoir le sourire : ils ne sont pas vulnérables à cette faille de sécurité, car Windows bloque cette adresse IP. À l'inverse, les machines sous Linux et macOS sont potentiellement vulnérables, en fonction du navigateur utilisé.

Les chercheurs en sécurité précisent que les mécanismes de protection "Cross-Origin Resource Sharing" (CORS) et "Private Network Access" (PNA) sont inefficaces face à ce problème de sécurité, car elles ne considèrent pas l'adresse "0.0.0.0".

Comment se protéger ?

Quelles sont les réponses de Google, Apple et Mozilla ? Grâce au travail des chercheurs d'Oligo Security, il semblerait qu'il y ait du mouvement.

Du côté de Google Chrome, la décision a été prise de bloquer les communications vers l'adresse IPv4 "0.0.0.0" (via NPA) afin d'empêcher l'exploitation de cette vulnérabilité. Ce changement sera introduit dans les futures versions de Google Chrome, de façon progressive, entre la version 128 et la version 133. Ceci s'applique aussi à Edge, le navigateur de Microsoft, puisqu'il est basé sur Chromium (comme d'autres navigateurs).

Le navigateur Mozilla Firefox n'intègre pas la fonction NPA, mais son développement est en cours. En attendant, il est possible qu'une solution temporaire soit proposée, bien que pour le moment, aucune date ne soit communiquée. Un utilisateur évoque d'ailleurs la création d'une extension Firefox pour bloquer l'accès sur cette adresse IP. Une extension codée à l'aide de ChatGPT, comme il le mentionne sur le GitHub de son projet.

Enfin, Apple a déployé des contrôles supplémentaires pour Safari, via des changements sur WebKit, afin de bloquer les accès sur 0.0.0.0. Ceci sera introduit dans la version 18 (à venir).

Nous pouvons constater que les mesures de sécurité seront déployées prochainement auprès des utilisateurs. En attendant, les utilisateurs de ces navigateurs sur Linux et macOS restent vulnérables. Ceci est d'autant plus vrai lorsque la machine utilisée pour naviguer sur Internet héberge également des services en local.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.