Una reciente investigación se ha revelado una vulnerabilidad crítica que afecta a todos los navegadores web principales, lo que permite a los atacantes externos comprometer redes locales. Esta vulnerabilidad, denominada “0.0.0.0 Day”, expone una falla fundamental en la forma en que los navegadores manejan las solicitudes de red, potencialmente otorgando a actores malintencionados acceso a servicios sensibles que se ejecutan en dispositivos locales.Esta vulnerabilidad afecta los principales navegadores web, incluidos Chromium, Firefox y Safari, permitiendo que sitios web externos se comuniquen con software que se ejecuta localmente en MacOS y Linux. Windows, por el momento, no está afectado por esta vulnerabilidad.
La vulnerabilidad permite que sitios web públicos, como aquellos con dominios terminados en .com, se comuniquen con servicios que se ejecutan en la red local (localhost) y potencialmente ejecuten código arbitrario en el host del visitante, utilizando la dirección 0.0.0.0 en lugar de localhost o 127.0.0.1.
Este es un código de ejemplo del exploit
Estado de la Remediación
Tras la divulgación responsable de esta vulnerabilidad en abril de 2024, los principales navegadores han comenzado a implementar medidas para bloquear las solicitudes HTTP a la dirección 0.0.0.0. Google Chrome, por ejemplo, ha iniciado un despliegue gradual para bloquear el acceso a esta IP en sus futuras versiones de Chromium. Apple también ha realizado cambios en WebKit, la base de su navegador Safari, para bloquear las solicitudes a 0.0.0.0. Sin embargo, Mozilla Firefox aún no ha implementado una solución inmediata, aunque está trabajando en bloquear esta dirección en el futuro.
Impacto y Riesgos
La vulnerabilidad “0.0.0.0 Day” afecta tanto a individuos como a organizaciones, ya que permite a los atacantes externos acceder a servicios locales vulnerables y ejecutar código de manera remota. Campañas de explotación activas, como “ShadowRay“, han demostrado cómo esta vulnerabilidad puede ser utilizada para comprometer clústeres de Ray, un marco de inteligencia artificial, y otros servicios locales.
Conclusión y Recomendaciones
Hasta que los navegadores implementen una solución completa, se recomienda a los desarrolladores tomar medidas proactivas para proteger sus aplicaciones locales:
- Implementar encabezados PNA (Private Network Access).
- Verificar el encabezado HOST de las solicitudes para protegerse contra ataques de DNS rebinding.
- No confiar ciegamente en la red localhost; implementar una capa mínima de autorización, incluso en entornos locales.
- Usar HTTPS siempre que sea posible.
- Implementar tokens CSRF en aplicaciones locales.
La vulnerabilidad “0.0.0.0 Day” es un recordatorio crítico de la necesidad de estandarizar las medidas de seguridad en los navegadores web y fortalecer la seguridad de las aplicaciones locales, evitando que los navegadores sean utilizados como vectores de ataque.