Descubren falla que afecta a Safari, Chromium y Firefox desde hace 18 años

Fallas Safari Chromium Firefox
Vulnerabilidad “0.0.0.0” afecta a Safari, Chromium y Firefox. Foto: Shutterstock

Investigadores de ciberseguridad descubrieron una vulnerabilidad “0.0.0.0 Day”, que ha permitido a los ciberdelincuentes acceder a los navegadores Safari, Chromium y Firefox a través de la red local de distintas organizaciones y equipos personales.

El equipo de Oligo Security descubrió esta vulnerabilidad de día cero o zero-day en los principales navegadores, que permite que sitios web externos se comuniquen y exploren el software que se ejecuta en MacOS y Linux. Esto significa que Windows estaría extenta de este problema.

Los especialistas indicaron que el impacto de esta vulnerabilidad conocida como “0.0.0.0 Day” es de largo alcance y afecta tanto a usuarios individuales como a organizaciones y empresas, según un comunicado en su blog.

Esta vulnerabilidad, cuyos primeros indicios se registraron en 2006, habría dejado la puerta abierta a los ciberdelincuentes para acceder a servicios confidenciales que se ejecutan en dispositivos locales a través de los navegadores web Chromium (Google), Firefox (Mozilla) y Safari (Apple).

Concretamente, el problema deriva de una IP aparentemente inocua, 0.0.0.0, que “puede convertirse en una herramienta” para que los agentes maliciosos exploten los servicios locales y ejecuten códigos maliciosos.

[TE RECOMENDAMOS: Ciberdelincuentes usan Dropbox para robar información al personal del sector financiero]

Esto, porque los sitios web públicos (como los que introducen el dominio .com) pueden comunciarse con servicios que se ejecuten en la red local (localhost) de los equipos objetivo y, potencialmente, ejecutar código arbitrario en el ‘host’ del usuario utilizando la dirección 0.0.0.0.

Los investigadores también han recalcado que un usuario informó de este error a Mozilla en 2006, cuando afirmaba que sitios web públicos habían atacado su enrutador en la red interna, momento en que “las redes internas e internet en general eran inseguras por diseño”.

Entonces, muchos servicios carecían de autenticación y los ceritificados de seguridad SSL y HTTPS no estaban extendidos en todas las páginas web, de manera que muchos de ellos se cargaban a través de una dirección HTTP insegura.

A pesar de haber notificado este error, durante los 18 años que han pasado desde entonces hasta ahora “este problema se cerró, se reabrió y se volvió a priorizar como grave y crítico”, pero no se tomaron las medidas correspondientes para acabar con él.

Se toman medidas 18 años después para solucionar la falla en falla Safari, Chromium y Firefox 

Oligo Security indicó que, tras divulgar de forma “responsable” esta falla, se han compartido documentos de solicitud de comentarios (RFC, por sus siglas en inglés), de manera que algunos navegadores “pronto bloquearán completamente el acceso a 0.0.0.0”.

De hecho, desde Apple han confirmado a Forbes que están llevando a cabo una serie de cambios en la versión beta de su sistema operativo más reciente, macOS Sequoia, para solicionar el problema.

No obstante, la firma de ciberseguridad ha advertido que Apple ha ejecutado “cambios importantes en WebKit” para bloquear el acceso a 0.0.0.0 y se ha añadido una marca de verificación a la dirección IP del host de destino. De ese modo, en el momento en que identifica que la solicitud son todo ceros, se bloquea.

[TE RECOMENDAMOS: Identifican apps con software espía en Google Play: México entre los países afectados]

Chrome, por su parte, ha compartido los suyos en su página web, indicando que “está eliminando el acceso directo a los ‘endpoints’ de la red privada desde sitios web públicos como parte de la especificación de acceso a la red privada (PNA, por sus siglas en inglés).

Lo está haciendo a partir de Chromium 128, un cambio que implementará “gradualmente en las próximas versiones” para completarlo en Chrome 133. En este momento, “la dirección IP quedará bloqueada por completo para todos los usuarios de Chrome y Chromium“, según Oligo Security.

Mozilla, por el momento, no ha lanzado una solución inmediata para Firefox, aunque hay una en proceso. De hecho, los investigadores han indicado que el navegador “nunca ha restringido el acceso a la red privada, por lo que, técnicamente, siempre estuvo permitido”. No obstante, ha cambiado la especificación RFC y ha priorizado la implementación de PNA, aunque ésta no se ha completado.

Qué opinas