Falha em navegadores permitia acesso remoto a redes locais
Problema em Safari, Firefox e navegadores baseados no Chromium abria porta para invasões no macOS e Linux. Apple e Google prometeram corrigir a vulnerabilidade.
Problema em Safari, Firefox e navegadores baseados no Chromium abria porta para invasões no macOS e Linux. Apple e Google prometeram corrigir a vulnerabilidade.
Pesquisadores de segurança encontraram uma falha nos Chromium (base de Chrome, Edge e outros), Firefox e Safari no macOS e no Linux. O problema está em como os navegadores lidam com pedidos de acesso ao IP 0.0.0.0.
A startup israelense Oligo, especializada em cibersegurança, descobriu esta vulnerabilidade. Avi Lumelsky, pesquisador da empresa, diz que códigos de desenvolvedor e mensagens internas são algumas informações vulneráveis a este tipo de ação.
Um site malicioso poderia usar 0 IP 0.0.0.0 para mostrar outros endereços na mesma rede. Assim, uma possibilidade é acessar o “localhost”, nome do servidor em uma rede local ou computador. Dessa forma, atacantes poderiam ter acesso a redes internas, obtendo dados que deveriam estar protegidos.
O problema recebeu o nome de 0.0.0.0 Day — um trocadilho com o IP envolvido e o termo “zero-day”. Falhas zero-day são aquelas que existem em softwares já disponíveis no mercado e foram descobertas por outras pessoas ou empresas, deixando a desenvolvedora com zero dia disponível para corrigir a vulnerabilidade.
Existem algumas limitações nesta tática. A principal delas é que apenas indivíduos ou empresas que hospedam servidores web podem ser afetados.
Apenas máquinas com macOS e Linux são suscetíveis a ataques ao 0.0.0.0. O Windows bloqueia o acesso a este endereço de IP no nível do sistema operacional, ficando a salvo de acessos não autorizados.
Chama a atenção que esta vulnerabilidade parece existir há muito tempo. Em 2006, um usuário reportou, em um fórum da Mozilla, que sites haviam atacado seu roteador, o que ele acreditava ser um bug.
“Passaram 18 anos, com centenas de comentários, mas o bug continua aberto até hoje”, escreve a Oligo em seu blog. “Durante estes 18 anos, o tópico foi fechado, reaberto, classificado como grave ou crítico e explorado em ataques.”
A Oligo enviou, em abril de 2024, as informações da vulnerabilidade para as equipes de segurança responsáveis pelos principais navegadores do mercado.
A Apple disse à revista Forbes que passará a bloquear todas as tentativas de sites para acessar o endereço 0.0.0.0 no macOS 15 Sequoia, começando na versão beta. O Google pretende fazer o mesmo com o Chromium, que serve de base para o próprio Chrome, o Microsoft Edge, o Brave e mais navegadores.
A Mozilla, por outro lado, não decidiu o que fazer. Para a fundação responsável pelo Firefox, bloquear o 0.0.0.0 pode causar problemas a servidores que usam este endereço como substituto do “localhost”. A desenvolvedora ainda não tomou nenhuma medida e está discutindo o que fazer.
A Oligo critica a postura da Mozilla. “Ao permitir o 0.0.0.0, você permite basicamente tudo”, diz Gal Elbaz, cofundador da empresa de cibersegurança.