Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
Ago 14, 2024 Marina Londei In evidenza, News, RSS, Vulnerabilità 0
I ricercatori di Oligo hanno reso nota l’esistenza di una vulnerabilità che colpisce tutti i principali browser e consente a un attaccante di sfruttare servizi locali, sistemi operativi e reti interne per scopi malevoli, come l’esecuzione di codice da remoto.
Il bug colpisce Chromium, Firefox e Safari e consente a siti web esterni di comunicare e potenzialmente sfruttare software che vengono eseguiti localmente su macchine macOS e Linux; i sistemi Windows, invece, non sono impattati dalla vulnerabilità. Nel dettaglio, i siti web pubblici possono comunicare con i servizi in esecuzione su localhost usando l’indirizzo 0.0.0.0; da qui il nome che i ricercatori hanno dato al bug.
Scegliendo una qualsiasi porta, un sito web può inviare richieste malevole che vengono processate dai servizi interni. “Quando i servizi utilizzano localhost, presuppongono un ambiente con restrizioni” spiegano i ricercatori. “Questo presupposto, che può (come nel caso di questa vulnerabilità) essere errato, si traduce in implementazioni di server non sicure“.
I ricercatori di Oligo sottolineano che questo bug era già stato segnalato per la prima volta 18 anni fa, quando un utente di Firefox aveva affermato che dei siti web pubblici avevano attaccato il router nella sua rete interna. Il bug, segnalato come issue di sicurezza, è tuttora in stato “Open” ed è stato sfruttato più volte dagli attaccanti.
La issue è stata chiusa e riaperta più volte e i mantainer del progetto non sempre hanno concordato sulla natura della segnalazione, discutendo se fosse o no una vulnerabilità e se fosse specifica di Firefox o meno.
Prima della scoperta di Oligo, Chrome aveva cercato di risolvere il problema delle richieste provenienti da siti web esterni introducendo il Private Network Access (PNA), uno standard che si occupa proprio di limitare la capacità dei siti web di inviare richieste a server che si trovano su reti private. Il PNA distingue tra reti pubbliche, private e locali e impedisce alle pagine caricate in un contesto meno sicuro di comunicare con quelle in contesti più sicuri, prevenendo l’invio delle richieste.
Il problema, spiegano i ricercatori di Oligo, è che l’IP 0.0.0.0 non è inserito nella lista di indirizzi considerati privati o locali; effettuando una prova, il team è riuscito a inviare una richiesta all’IP locale da un dominio esterno e ottenere una risposta.
Il team di Oligo ha eseguito una serie di test usando applicazioni reali eseguite in locale, come Ray per l’esecuzione di workload di IA o istanze Selenium Grid: in entrambi i casi è stato possibile inviare richieste alle applicazioni locali.
Grazie al report di Oligo, le società dietro i principali browser hanno rilasciato dei fix per bloccare 0.0.0.0 come IP target nelle richieste.
In ogni caso, è bene proteggere le applicazioni locali a prescindere, senza attendere le patch dei browser. I ricercatori consigliano di implementare gli header PNA, aggiungere un livello anche minimo di autorizzazione per le applicazioni che vengono eseguite in locale, usare HTTPS quando possibile, implementare i token CSRF anche sulle applicazioni locali e verificare l’header HOST delle richieste per proteggersi da attacchi di DNS rebinding.
Nov 21, 2024 0
Nov 18, 2024 0
Ott 30, 2024 0
Ott 29, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 15, 2024 0
Nov 15, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...Nov 15, 2024 0
La sicurezza dei toolkit ML continua a essere minacciata...