VER RESUMEN

Resumen automático generado con Inteligencia Artificial

Investigadores de ciberseguridad descubrieron la vulnerabilidad llamada "0.0.0.0 Day" que permitió a ciberdelincuentes acceder a Safari, Chrome y Firefox a través de redes locales. Oligo Security detectó el fallo en Mac y Linux, excluyendo a Windows, lo que facilitaba la exploración de software. Esta brecha, presente desde 2006, posibilitaba a los atacantes acceder a servicios confidenciales a través de Chromium, Firefox y Safari. A pesar de ser notificado en 2006, no se tomaron medidas hasta ahora. Tras la divulgación responsable, se aplicarán bloqueos en navegadores como Chrome y Apple ya trabaja en solucionar el problema en macOS Sequoia. Mozilla aún no ofrece una solución inmediata para Firefox.

Desarrollado por BioBioChile

Investigadores de ciberseguridad descubrieron recientemente una vulnerabilidad que llamaron 0.0.0.0 Day, la cual ha permitido a los ciberdelincuentes acceder a los navegadores Safari, Chrome y Firefox a través de la red local de distintas organizaciones y equipos personales.

El equipo de Oligo Security detectó esta vulnerabilidad de día cero o ‘zero-day’ en los principales navegadores, que permite que sitios web externos se comuniquen y exploren el ‘software’ que se ejecuta en MacOS y Linux. Esto significa que Windows estaría exenta de este problema.

Los especialistas indicaron que el impacto de esta vulnerabilidad “es de largo alcance” y afecta tanto a usuarios individuales como a organizaciones y empresas, según un comunicado en su blog.

Esta vulnerabilidad, cuyos primeros indicios se registraron en 2006, habría dejado la puerta abierta a los ciberdelincuentes para acceder a servicios confidenciales que se ejecutan en dispositivos locales a través de los navegadores web Chromium (Google), Firefox (Mozilla) y Safari (Apple).

Concretamente, el problema deriva de una IP aparentemente inocua, 0.0.0.0, que “puede convertirse en una herramienta” para que los agentes maliciosos exploten los servicios locales y ejecuten códigos maliciosos.

Esto, porque los sitios web públicos (como los que introducen el dominio .com) pueden comunicarse con servicios que se ejecuten en la red local (localhost) de los equipos objetivo y, potencialmente, ejecutar código arbitrario en el ‘host’ del usuario utilizando la dirección 0.0.0.0.

Usuario advirtió del problema en 2006

Los investigadores también recalcaron que un usuario informó de este error a Mozilla en 2006, cuando afirmaba que sitios web públicos habían atacado su enrutador en la red interna, momento en que “las redes internas e internet en general eran inseguras por diseño”.

Entonces, muchos servicios carecían de autenticación y los certificados de seguridad SSL y HTTPS no estaban extendidos en todas las páginas web, de manera que muchos de ellos se cargaban a través de una dirección HTTP insegura.

A pesar de haber notificado este error, durante los 18 años que han pasado desde entonces hasta ahora “este problema se cerró, se reabrió y se volvió a priorizar como grave y crítico”, pero no se tomaron las medidas correspondientes para acabar con él.

Ya tomaron medidas

Oligo Security indicó que, tras divulgar de forma “responsable” esta falla, se compartieron documentos de solicitud de comentarios (RFC, por sus siglas en inglés), de manera que algunos navegadores “pronto bloquearán completamente el acceso a 0.0.0.0”.

De hecho, desde Apple confirmaron a Forbes que están llevando a cabo una serie de cambios en la versión beta de su sistema operativo más reciente, macOS Sequoia, para solucionar el problema.

No obstante, la firma de ciberseguridad advirtió que Apple ejecutó “cambios importantes en WebKit” para bloquear el acceso a 0.0.0.0 y se ha añadido una marca de verificación a la dirección IP del ‘host’ de destino’. De ese modo, en el momento en que identifica que la solicitud son todo ceros, se bloquea.

Chrome, por su parte, compartió los suyos en su página web, indicando que “está eliminando el acceso directo a los ‘endpoints’ de la red privada desde sitios web públicos como parte de la especificación de acceso a la red privada (PNA, por sus siglas en inglés).

Lo está haciendo a partir de Chromium 128, un cambio que implementará “gradualmente en las próximas versiones” para completarlo en Chrome 133. En este momento, “la dirección IP quedará bloqueada por completo para todos los usuarios de Chrome y Chromium”, según Oligo Security.

Mozilla, por el momento, no ha lanzado una solución inmediata para Firefox, aunque hay una en proceso. De hecho, los investigadores han indicado que el navegador “nunca ha restringido el acceso a la red privada, por lo que, técnicamente, siempre estuvo permitido”. No obstante, ha cambiado la especificación RFC y ha priorizado la implementación de PNA, aunque ésta no se ha completado.