18 år gammal säkerhetsbrist utnyttjas av hackare

En säkerhetsbrist i flera webbläsare på Linux och Mac OS har börjat utnyttjas av hackare. Det är inget ovanligt i sig, men just den här bristen rapporterades till Mozilla för över 18 år sedan men har fortfarande inte fixats, skriver Bleeping Computer.

Upptäckten att den används i attacker gjordes av Oligo Security, som kallar det en ”0.0.0.0 day”-brist. Namnet syftar dels på ”0 day”, det vill säga en tidigare okänd säkerhetsbrist som aktivt utnyttjas av hackare, dels på den reserverade IPv4-adressen 0.0.0.0 som har flera betydelser i olika sammanhang.

Attack mot lokala webbservrar

Problemet som Oligo beskriver ligger i hur webbläsarna hanterar förfrågningar från webbservrar att hämta information från just adressen 0.0.0.0. Webbläsare har redan två tekniker som ska skydda mot liknande attacker: Cross-Origin Resource Sharing (CORS) och Private Network Address (PNA). CORS är en användbar teknik som låter webbplatser använda data från andra webbplatser, men bara om de uttryckligen tillåter det. En webbsida som begär tillgång till något den inte ska ha tillgång till får aldrig något svar.

Problemet är att en attack inte nödvändigtvis behöver vänta på svar. Det kan räcka med att kunna skicka ett paket till en server, och genom att skicka en HTTP-förfrågan till 0.0.0.0 och inte begära något svar kan hackare i vissa fall komma åt tjänster som kör på offrets dator. PNA ska hindra förfrågningar till lokala IP-adresser, men av någon anledning ingår 0.0.0.0 inte på den listan.

Utnyttjas aktivt

Oligo har hittat flera exempel på attacker som utnyttjar 0.0.0.0-bristen. Shadowray-kampanjen som avslöjades i våras var en attack mot utvecklare som kör AI-mjukvaran Ray. Offren fick en länk via mejl eller på annan väg till en webbplats med Javascript som skickar en HTTP-förfrågan till 0.0.0.0 på port 8265, som Ray använder som standard för sin lokala webbserver. Den går normalt inte att komma åt utifrån, men på grund av säkerhetsbristen kan offrets webbläsare göra det och vips kan hackaren lura Ray att köra godtycklig kod.

Två liknande kampanjer har attackerat Selenium Grid och Torchserve, som också kör lokala webbservrar för att visa användargränssnitt i webbläsare.

Google och Apple har tagit fram fixar, och Mozilla har en på gång. I Chrome kommer fixen rullas ut till användare mellan version 128 och 133, medan den i Safari kommer ingå i version 18. För Firefox kommer först en tillfällig fix medan utvecklarna jobbar på en mer långsiktig.