asd

redaccion@diariodigitalis.com

Descubren Vulnerabilidad que Afecta a Navegadores Safari, Chromium y Firefox en MacOS y Linux

Investigadores de ciberseguridad han identificado una nueva vulnerabilidad conocida como 0.0.0.0 Day, que ha permitido a ciberdelincuentes acceder a los navegadores Safari, Chromium y Firefox a través de redes locales, tanto en organizaciones como en equipos personales.

El equipo de Oligo Security fue quien descubrió esta vulnerabilidad de día cero en los principales navegadores, permitiendo a sitios web externos comunicarse y explorar el software en dispositivos que operan con MacOS y Linux. Windows, por su parte, no se ve afectado por este problema.

Los expertos han advertido que la vulnerabilidad 0.0.0.0 Day tiene un «alcance considerable», impactando tanto a usuarios individuales como a organizaciones y empresas, según informaron en una publicación en su blog.

Esta vulnerabilidad, cuyos primeros indicios se registraron en 2006, habría dejado la puerta abierta a los ciberdelincuentes para acceder a servicios confidenciales que se ejecutan en dispositivos locales a través de los navegadores webChromium (Google), Firefox (Mozilla) y Safari (Apple).

Concretamente, el problema deriva de una IP aparentemente inocua, 0.0.0.0, que «puede convertirse en una herramienta» para que los agentes maliciosos exploten los servicios locales y ejecuten códigos maliciosos.

Esto, porque los sitios web públicos (como los que introducen el dominio .com) pueden comunciarse con servicios que se ejecuten en la red local (localhost) de los equipos objetivo y, potencialmente, ejecutar código arbitrario en el ‘host’ del usuario utilizando la dirección 0.0.0.0.

Los investigadores también han recalcado que un usuario informó de este error a Mozilla en 2006, cuando afirmaba que sitios web públicos habían atacado su enrutador en la red interna, momento en que «las redes internas e internet en general eran inseguras por diseño».

Entonces, muchos servicios carecían de autenticación y los ceritificados de seguridad SSL y HTTPS no estaban extendidos en todas las páfinas web, de manera que muchos de ellos se cargaban a través de una dirección HTTP insegura.

A pesar de haber notificado este error, durante los 18 años que han pasado desde entonces hasta ahora «este problema se cerró, se reabrió y se volvió a priorizar como grave y crítico», pero no se tomaron las medidas correspondientes para acabar con él.

YA SE HAN TOMADO MEDIDAS

Oligo Security ha indicado que, tras divulgar de forma «responsable» esta falla, se han compartido documentos de solicitud de comentarios (RFC, por sus siglas en inglés), de manera que algunos navegadores «pronto bloquearán completamente el acceso a 0.0.0.0».

De hecho, desde Apple han confirmado a Forbes que están llevando a cabo una serie de cambios en la versión beta de su sistema operativo más reciente, macOS Sequoia, para solicionar el problema.

No obstante, la firma de ciberseguridad ha advertido que Apple ha ejecutado «cambios importantes en WebKit» para bloquear el acceso a 0.0.0.0 y se ha añadido una marca de verificación a la dirección IP del ‘host’ de destino’. De ese modo, en el momento en que identifica que la solicitud son todo ceros, se bloquea.

Chrome, por su parte, ha compartido los suyos en su página web, indicando que «está eliminando el acceso directo a los ‘endpoints’ de la red privada desde sitios web públicos como parte de la especificación de acceso a la red privada (PNA, por sus siglas en inglés).

Lo está haciendo a partir de Chromium 128, un cambio que implementará «gradualmente en las próximas versiones» para completarlo en Chrome 133. En este momento, «la dirección IP quedará bloqueada por completo para todos los usuarios de Chrome y Chromium», según Oligo Security.

Mozilla, por el momento, no ha lanzado una solución inmediata para Firefox, aunque hay una en proceso. De hecho, los investigadores han indicado que el navegador «nunca ha restringido el acceso a la red privada, por lo que, técnicamente, siempre estuvo permitido». No obstante, ha cambiado la especificación RFC y ha priorizado la implementación de PNA, aunque ésta no se ha completado.

Artículos Relacionados

Suscríbete a nuestra newsletter


(Obligatorio)

También te puede gustar

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Suscríbete a nuestra newsletter