吳明宜Oligo Security 研究人員發現一個存在長達 18 年的重大漏洞,名為 0.0.0.0 Day,可讓攻擊者遠端在瀏覽器上執行程式碼,主要瀏覽器如 Chrome 、 Edge 、 Firefox 和 Safari 都受影響。
這個漏洞可讓惡意網站繞過瀏覽器的安全防護機制並與受害者本地網路上的服務互動,進而在未經授權情況下存取本地服務、並執行程式碼。這名為 0.0.0.0 Day 的漏洞可能使駭客存取受害者網路服務、竊取資料,或造成更重大的損害。研究人員相信這個漏洞自 2006 年就已存在。
0.0.0.0 Day 漏洞起因
要了解漏洞,必須先了解 IP 位址 0.0.0.0 Day 的角色。 0.0.0.0 的 IP 有許多使用情境,像是用在/etc/hosts 檔案中,以防堵特定網域或網路政策允許所有 IP 連線。
網站的數位指紋辨識 (fingerprinting) 是知名的用戶辨識手法,它有很多好的或不良用途,好的用途像是電商網站辨識回頭訪客,但惡意人士也可以用它來蒐集情報以遂其釣魚意圖。 0.0.0.0 Day 漏洞則允許攻擊者掃瞄用戶傳輸埠, 辨識出開放傳輸埠及有機可乘的服務。
另一方面,為了防止企業服務被外部連線掃瞄,Google 推出了私有網路存取 (Private Network Access, PNA) 規格,目的在限制外部網站對內部伺服器傳送呼叫。 PNA 也能區分公開、私有及本地網路,防止安全環境的外部存取。這技術也實作到了 Chrome 中。
但 Oligo Security 研究人員發現,根據 PNA 規格,被視為私有或本地網站的 IP 並不包括 0.0.0.0,因而允許外部網站傳送呼叫到 0.0.0.0,即可繞過 PNA 的實作防護 。研究人員於是將這「0.0.0.0 Day」漏洞通報所有瀏覽器業者,包括 Chrome/Edge 、 Mozilla Firefox 與蘋果 Safari 。
0.0.0.0 Day 漏洞可能影響許多應用程式,可使駭客進行遠端程式碼執行 (RCE) 攻擊。研究人員發現的應用程包括 Ray 、 Selenium Grid 、 Pytorch Torchserve 等。
獲得通報的瀏覽器業者目前都在製作瀏覽器層級的暫時性防範措施。 Google 已從 Chrome 128 封鎖 0.0.0.0 存取,將在 Chrome 133 完成實作,全球有 0.015% 的網站以 0.0.0.0 通訊。蘋果 Safari 已在 WebKit 封鎖 0.0.0.0 存取。 Mozilla Firefox 目前沒有導入 PNA 保護,但計畫未來會導入到 Firefox 中。