La vulnérabilité « 0.0.0.0 Day » soulève des préoccupations significatives quant à la sécurité des navigateurs et des réseaux. Alors que des chercheurs identifient des failles exploitables, les conséquences pourraient toucher à la fois les utilisateurs individuels et les organisations. Les réponses des principaux acteurs du développement de navigateurs sont cruciales dans ce contexte préoccupant.
L’adresse IPv4 0.0.0.0 a toujours été utilisée comme un « caractère générique » non standard pour identifier toutes les adresses IP disponibles sur un réseau. Des chercheurs ont désormais découvert qu’elle pourrait également représenter l’une des vulnérabilités de sécurité les plus persistantes dans l’accès Internet par le Web.
Un rapport d’Oligo Security met en évidence les dangers de la vulnérabilité « 0.0.0.0 Day », une faille de sécurité qui pourrait théoriquement permettre à des sites Web malveillants de contourner les protections de navigateur les plus avancées et d’interagir avec des services exécutés sur un réseau local. Des chercheurs ont récemment « redécouvert » la faille, même si des cybercriminels avertis tentent depuis un certain temps d’exploiter le bug.
Selon les chercheurs d’Oligo, cette faille affecte toutes les technologies de navigateur disponibles et est liée à la manière dont ces navigateurs gèrent les requêtes réseau. Une page Web malveillante pourrait tenter d’atteindre l’adresse IP inexistante 0.0.0.0, en envoyant un paquet empoisonné à un port aléatoire sur cette adresse. Un navigateur vulnérable pourrait alors acheminer la requête, compromettant potentiellement les services réseau exécutés sur la machine locale (hôte).
Il est intéressant de noter que le bug affecte les systèmes d’exploitation macOS et Linux, mais pas Windows. Les navigateurs basés sur Chromium, Apple Safari (WebKit) et Mozilla Firefox (Gecko) se sont tous révélés vulnérables, a noté Oligo. Selon un fil de discussion Bugzilla sur les attaques contre les réseaux internes, Mozilla est aux prises avec ce problème controversé depuis 18 ans.
Le partage de ressources cross-origine (CORS) est une caractéristique qui contrôle l’accès aux ressources réseau restreintes, et le nouveau projet de caractéristique d’accès au réseau privé (PNA) est conçu pour séparer clairement les réseaux publics et non publics au sein d’un navigateur. Cependant, la vulnérabilité 0.0.0.0 Day a pu contourner les deux mesures.
« L’impact de la Journée 0.0.0.0 est de grande envergure, affectant aussi bien les individus que les organisations », ont déclaré les chercheurs.
Ils ont également découvert des campagnes d’exploitation actives, telles que l’attaque ShadowRay contre les charges de travail d’IA. Heureusement pour les utilisateurs de macOS et de Linux, les trois principaux développeurs de moteurs de navigateur ont répondu rapidement à l’appel d’Oligo pour une solution fonctionnelle à la faille.
Google a annoncé que Chromium/Chrome bloquera bientôt l’accès à 0.0.0.0, via un déploiement progressif qui débutera dans Chrome 128 avant de se terminer dans Chrome 133. Apple a également mis à jour le code de WebKit pour bloquer l’accès à 0.0.0.0. Mozilla n’a pas encore fourni de correctif prêt pour la production, mais la société a exprimé sa volonté de « s’engager » dans des discussions sur le problème.
Il est important de souligner que Mozilla Firefox n’a pas encore implémenté PNA, car le protocole CORS a été conçu pour être rétrocompatible tout en offrant des protections contre les accès inappropriés aux ressources du réseau local. Pour l’instant, Mozilla a mis à jour la caractéristique Fetch pour bloquer l’accès à 0.0.0.0.