Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Ago 14, 2024 Marina Londei In evidenza, News, RSS, Vulnerabilità 0
I ricercatori di Oligo hanno reso nota l’esistenza di una vulnerabilità che colpisce tutti i principali browser e consente a un attaccante di sfruttare servizi locali, sistemi operativi e reti interne per scopi malevoli, come l’esecuzione di codice da remoto.
Il bug colpisce Chromium, Firefox e Safari e consente a siti web esterni di comunicare e potenzialmente sfruttare software che vengono eseguiti localmente su macchine macOS e Linux; i sistemi Windows, invece, non sono impattati dalla vulnerabilità. Nel dettaglio, i siti web pubblici possono comunicare con i servizi in esecuzione su localhost usando l’indirizzo 0.0.0.0; da qui il nome che i ricercatori hanno dato al bug.
Scegliendo una qualsiasi porta, un sito web può inviare richieste malevole che vengono processate dai servizi interni. “Quando i servizi utilizzano localhost, presuppongono un ambiente con restrizioni” spiegano i ricercatori. “Questo presupposto, che può (come nel caso di questa vulnerabilità) essere errato, si traduce in implementazioni di server non sicure“.
I ricercatori di Oligo sottolineano che questo bug era già stato segnalato per la prima volta 18 anni fa, quando un utente di Firefox aveva affermato che dei siti web pubblici avevano attaccato il router nella sua rete interna. Il bug, segnalato come issue di sicurezza, è tuttora in stato “Open” ed è stato sfruttato più volte dagli attaccanti.
La issue è stata chiusa e riaperta più volte e i mantainer del progetto non sempre hanno concordato sulla natura della segnalazione, discutendo se fosse o no una vulnerabilità e se fosse specifica di Firefox o meno.
Prima della scoperta di Oligo, Chrome aveva cercato di risolvere il problema delle richieste provenienti da siti web esterni introducendo il Private Network Access (PNA), uno standard che si occupa proprio di limitare la capacità dei siti web di inviare richieste a server che si trovano su reti private. Il PNA distingue tra reti pubbliche, private e locali e impedisce alle pagine caricate in un contesto meno sicuro di comunicare con quelle in contesti più sicuri, prevenendo l’invio delle richieste.
Il problema, spiegano i ricercatori di Oligo, è che l’IP 0.0.0.0 non è inserito nella lista di indirizzi considerati privati o locali; effettuando una prova, il team è riuscito a inviare una richiesta all’IP locale da un dominio esterno e ottenere una risposta.
Il team di Oligo ha eseguito una serie di test usando applicazioni reali eseguite in locale, come Ray per l’esecuzione di workload di IA o istanze Selenium Grid: in entrambi i casi è stato possibile inviare richieste alle applicazioni locali.
Grazie al report di Oligo, le società dietro i principali browser hanno rilasciato dei fix per bloccare 0.0.0.0 come IP target nelle richieste.
In ogni caso, è bene proteggere le applicazioni locali a prescindere, senza attendere le patch dei browser. I ricercatori consigliano di implementare gli header PNA, aggiungere un livello anche minimo di autorizzazione per le applicazioni che vengono eseguite in locale, usare HTTPS quando possibile, implementare i token CSRF anche sulle applicazioni locali e verificare l’header HOST delle richieste per proteggersi da attacchi di DNS rebinding.
Set 13, 2024 0
Set 09, 2024 0
Set 05, 2024 0
Ago 29, 2024 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...