Nos últimos dias, uma vulnerabilidade de segurança, originada há 18 anos, voltou a ser tema de debate entre especialistas. Batizada de “0.0.0.0 Day”, essa falha crítica permite que websites maliciosos contornem as proteções de navegadores populares como Google Chrome, Mozilla Firefox e Apple Safari, interagindo diretamente com serviços em redes locais. O mais preocupante é que, mesmo tendo sido reportada em 2006, essa vulnerabilidade continua sem solução definitiva, expondo milhões de usuários a riscos significativos. O curioso é que ela afeta apenas dispositivos que utilizam sistemas operacionais Linux e macOS, deixando usuários de Windows livres desta ameaça específica.
O que é a Vulnerabilidade “0.0.0.0 Day”?
A vulnerabilidade “0.0.0.0 Day” origina-se de mecanismos de segurança inconsistentes entre diferentes navegadores e da falta de padronização que permite que sites públicos se comuniquem com serviços de rede local utilizando o endereço IP “curinga” 0.0.0.0. Em termos simples, o 0.0.0.0 geralmente representa todos os endereços IP na máquina local ou em todas as interfaces de rede no host. Essa falha possibilita que websites maliciosos enviem requisições HTTP para 0.0.0.0, visando um serviço rodando na máquina local do usuário. Devido à falta de segurança consistente, essas requisições frequentemente chegam ao serviço e são processadas.
Embora possa parecer teórica, a realidade é que a vulnerabilidade já foi explorada por diversos agentes maliciosos. Um dos casos documentados pela Oligo Security é o ShadowRay, um ataque que tem como alvo workloads de IA executados localmente nas máquinas dos desenvolvedores. Ao clicar em um link malicioso, a vítima desencadeia um script em JavaScript que envia uma requisição HTTP para o endereço 0.0.0.0:8265, o que pode resultar em execução arbitrária de código, acesso remoto ao sistema, e alteração de configurações.
Outro exemplo é a campanha que visa o Grid, da Selenium, onde os atacantes utilizam JavaScript para enviar requisições ao endereço 0.0.0.0:4444, permitindo que executem códigos maliciosos ou conduzam reconhecimento de rede.
Além disso, a vulnerabilidade ShellTorch, reportada em outubro de 2023, expôs a interface web do TorchServe a ataques, uma vez que, por padrão, o painel web estava vinculado ao endereço 0.0.0..
Em busca de uma solução
Atualmente já existe um recurso de segurança projetado para proteger dispositivos e redes internas de acessos não autorizados originados da internet, chamado Private Network Access (PNA). Basicamente, o PNA bloqueia tentativas de conexão de sites públicos a endereços IP considerados locais ou privados, como aqueles na faixa 192.168.x.x ou 10.x.x.x, que normalmente pertencem a redes internas de empresas ou residências. Isso evita que sites maliciosos acessem recursos internos do usuário, como servidores ou dispositivos conectados na rede local. No entanto, a pesquisa da Oligo Security revelou que o endereço especial 0.0.0.0 não está incluído na lista de IPs restritos pelo PNA, permitindo que requisições enviadas nesse modo contornem a proteção e alcancem serviços locais, expondo-os a potenciais ataques.
Com a crescente preocupação em torno dessa vulnerabilidade, os desenvolvedores de navegadores começaram a tomar medidas para mitigar os riscos. O Google Chrome, por exemplo, iniciou um bloqueio gradual ao acesso ao endereço 0.0.0.0 ao longo de suas atualizações, uma medida que será implementada completamente até a versão 133. O Mozilla Firefox, por sua vez, tem como prioridade, implementar os ajustes no PNA, mas pode levar algum tempo ficar pronto, portanto deverão lançar antes uma correção temporária.
A Apple também está em buscapé uma solução, já implementou verificações adicionais no Safari por meio de alterações no WebKit e bloqueou o acesso ao endereço 0.0.0.0 na versão 18 do navegador, que será lançada juntamente com o macOS Sequoia.
Até que as correções sejam completamente implementadas nos navegadores, a Oligo Security recomenda que os desenvolvedores tomem medidas preventivas para proteger seus aplicativos e sistemas. Isso inclui a implementação de cabeçalhos PNA, a verificação dos cabeçalhos HOST para proteger contra ataques de “DNS rebinding”, a adição de pedidos de autorização, mesmo em localhost, e o uso de HTTPS sempre que possível. Além disso, tokens CSRF devem ser implementados também para aplicativos locais.
A vulnerabilidade “0.0.0.0 Day” é um lembrete poderoso de como falhas antigas podem persistir durante anos, expondo sistemas e usuários a riscos contínuos. Apesar de ser uma vulnerabilidade específica para Linux e macOS, seu impacto potencial é vasto, especialmente em ambientes de desenvolvimento e servidores web. Com as grandes empresas de navegadores se mobilizando para implementar correções, espera-se que em breve essa ameaça seja eliminada. No entanto, até lá, é importante que desenvolvedores e usuários permaneçam vigilantes e adotem medidas de segurança adicionais para proteger seus sistemas.
Fique por dentro das principais notícias da semana sobre Linux e tecnologia, assine nossa newsletter!
