网络安全研究人员发现新的“0.0.0.0 Day”漏洞，影响所有主要网络浏览器，恶意网站可以利用这个漏洞入侵本地网络。

该关键漏洞“揭示了浏览器处理网络请求的方式中存在的根本缺陷，可能让恶意行为者有机会访问本地设备上的敏感服务，”Oligo Security 研究员 Avi Lumelsky 如此表示。[链接]提到这是零日漏洞。

以色列的应用安全公司指出，该漏洞的影响深远，这源于安全机制执行不一致以及不同浏览器之间的标准化不足。

因此，看似无害的IP地址，如0.0.0.0，可以被利用来攻击本地服务，导致未经授权的访问和远程代码执行，从而使网络外部的攻击者能够未经授权访问和执行远程代码。据称该漏洞自2006年以来一直存在。

0.0.0.0这一天影响Google Chrome/Chromium、Mozilla Firefox和Apple Safari，使得外部网站可以与在MacOS和Linux上本地运行的软件进行通信。它不会影响Windows设备，因为微软在操作系统层面阻止了该IP地址的访问。

特别地，Oligo Security 发现，使用“.com”作为域名的公共网站可以通过使用地址0.0.0.0（而不是localhost或127.0.0.1）与本地网络上的服务通信，并在访客的主机上执行任意的恶意代码。

这也是绕过私人网络访问（PNA）的一种方式，该功能旨在防止公共网站直接访问私人网络中的内部资源。这里的“端点”指的是内部网络中的设备或服务。

运行在本地主机并通过0.0.0.0可以访问的任何应用程序可能被远程代码执行所利用，包括通过向0.0.0.0:4444发送一个精心构造的负载的POST请求来远程控制本地的Selenium Grid实例。

针对2024年4月的发现，网络浏览器预计将在之后全面禁止访问0.0.0.0，从而淘汰直接从公共网站访问私有网络端点的做法。

“当服务使用localhost（本地主机）时，它们假设了一个受限的环境，”Lumelsky解释说。“这种假设（就像这个漏洞所显示的）可能出错，从而导致不安全的服务器实现。”

“通过使用0.0.0.0地址与使用 no-cors 模式，攻击者可以利用公开的域名来攻击运行于本地主机上的服务，甚至实现任意代码执行（RCE），只需一个HTTP请求即可。”

觉得这篇文章有意思吗？关注我们的推特 Twitter 和领英 LinkedIn 以获取更多我们独家发布的内容。

_本文最初发布于https://thehackernews.com_.