Destapan falla que afecta a los navegadores desde hace 18 años; deja la puerta abierta a los ciberdelincuentes

Investigadores de ciberseguridad han descubierto recientemente una vulnerabilidad 0.0.0.0 Day, que ha permitido a los ciberdelincuentes acceder a los navegadores Safari, Chrome y Firefox a través de la red local de distintas organizaciones y equipos personales.

El equipo de Oligo Security ha dado con esta vulnerabilidad de día cero o zero-day en los principales navegadores, que permite que sitios web externos se comuniquen y exploren el software que se ejecuta en MacOS y Linux. Esto significa que Windows estaría extinta de este problema.

Los especialistas han indicado que el impacto de esta vulnerabilidad conocida como 0.0.0.0 Day “es de largo alcance” y afecta tanto a usuarios individuales como a organizaciones y empresas, según un comunicado en su blog.

Esta vulnerabilidad, cuyos primeros indicios se registraron en 2006, habría dejado la puerta abierta a los ciberdelincuentes para acceder a servicios confidenciales que se ejecutan en dispositivos locales a través de los navegadores web Chromium (Google), Firefox (Mozilla) y Safari (Apple).

Concretamente, el problema deriva de una IP aparentemente inocua, 0.0.0.0, que “puede convertirse en una herramienta” para que los agentes maliciosos exploten los servicios locales y ejecuten códigos maliciosos.

Esto porque los sitios web públicos (como los que introducen el dominio .com) pueden comunicarse con servicios que se ejecuten en la red local (localhost) de los equipos objetivo y, potencialmente, ejecutar código arbitrario en el host del usuario utilizando la dirección 0.0.0.0.

Los investigadores también han recalcado que un usuario informó de este error a Mozilla en 2006, cuando afirmaba que sitios web públicos habían atacado su enrutador en la red interna, momento en que “las redes internas e internet en general eran inseguras por diseño”.

Entonces, muchos servicios carecían de autenticación y los certificados de seguridad SSL y HTTPS no estaban extendidos en todas las páginas web, de manera que muchos de ellos se cargaban a través de una dirección HTTP insegura.

A pesar de haber notificado este error, durante los 18 años que han pasado desde entonces hasta ahora “este problema se cerró, se reabrió y se volvió a priorizar como grave y crítico”, pero no se tomaron las medidas correspondientes para acabar con él.

Ya se han tomado medidas

Oligo Security ha indicado que, tras divulgar de forma “responsable” esta falla, se han compartido documentos de solicitud de comentarios (RFC, por sus siglas en inglés), de manera que algunos navegadores “pronto bloquearán completamente el acceso a 0.0.0.0″.

De hecho, desde Apple han confirmado a Forbes que están llevando a cabo una serie de cambios en la versión beta de su sistema operativo más reciente, macOS Sequoia, para solucionar el problema.

No obstante, la firma de ciberseguridad ha advertido que Apple ha ejecutado “cambios importantes en WebKit” para bloquear el acceso a 0.0.0.0 y se ha añadido una marca de verificación a la dirección IP del host de destino. De ese modo, en el momento en que identifica que la solicitud son todo ceros, se bloquea.

Chrome, por su parte, ha compartido los suyos en su página web, indicando que “está eliminando el acceso directo a los endpoints de la red privada desde sitios web públicos como parte de la especificación de acceso a la red privada (PNA, por sus siglas en inglés).

Lo está haciendo a partir de Chromium 128, un cambio que implementará “gradualmente en las próximas versiones” para completarlo en Chrome 133. En este momento, “la dirección IP quedará bloqueada por completo para todos los usuarios de Chrome y Chromium”, según Oligo Security.

Mozilla, por el momento, no ha lanzado una solución inmediata para Firefox, aunque hay una en proceso. De hecho, los investigadores han indicado que el navegador “nunca ha restringido el acceso a la red privada, por lo que, técnicamente, siempre estuvo permitido”. No obstante, ha cambiado la especificación RFC y ha priorizado la implementación de PNA, aunque ésta no se ha completado.

*Con información de Europa Press