Une vulnérabilité de longue date dans Google Chrome, Mozilla Firefox et Apple Safari a été exploitée par des acteurs malveillants pour contourner les mesures de sécurité et interagir avec les services des réseaux locaux. Surnommé la faille « 0[.]0[.]0[.]0 Day », la vulnérabilité provient de mécanismes de sécurité incohérents entre les différents navigateurs, permettant aux sites web publics de communiquer avec les services du réseau local de l’utilisateur en utilisant l’adresse IP générique 0[.]0[.]0[.]0. Cette adresse IP peut être utilisée comme espace réservé dans les requêtes DHCP ou interprétée comme l’hôte local (127[.]0[.]0[.]1) dans le réseau local.🌐➡🏠

🚨 Les sites web malveillants peuvent dès lors envoyer des requêtes HTTP à 0[.]0[.]0[.]0, ciblant un service exécuté sur la machine locale de l’utilisateur. Ces requêtes sont souvent acheminées vers le service et traitées, permettant aux acteurs malveillants de modifier les paramètres à distance, d’obtenir un accès non autorisé aux informations protégées et même d’exécuter du code à distance.

Les chercheurs d’Oligo Security ont observé plusieurs acteurs malveillants exploitant cette vulnérabilité dans le cadre de leurs chaînes d’attaque. La faille a été activement exploitée dans des campagnes telles que ShadowRay, qui cible les charges de travail d’IA exécutées localement sur les machines des développeurs, et dans une campagne ciblant Selenium Grid, qui permet aux attaquants d’exécuter du code ou d’effectuer une reconnaissance du réseau.

En réponse à cette divulgation, les développeurs de navigateurs ont annoncé prendre des mesures pour résoudre le problème. Il serait temps, cela fait 18 ans que cette vulnérabilité a été signalée. Peut-être une histoire de majorité…

🚨 Plus sérieusement, en attendant l’arrivée des correctifs du navigateur, il est conseillé aux développeurs d’applications de mettre en œuvre des mesures de sécurité telles que l’implémentation des en-têtes « PNA », la vérification des en-têtes « Host » et l’utilisation de HTTPS autant que possible. Il est essentiel que les développeurs gardent à l’esprit que, jusqu’au déploiement des correctifs, les sites web malveillants peuvent toujours acheminer les requêtes HTTP vers des adresses IP internes.