Cảnh báo lỗ hổng 0.0.0.0 Day cho phép các trang web độc hại bỏ qua bảo mật trên Linux và macOS

Một lỗ hổng bảo mật được công bố cách đây 18 năm, được đặt tên là “0.0.0.0 Day”, đang gây lo ngại khi cho phép các trang web độc hại vượt qua các cơ chế bảo mật trên Google Chrome, Mozilla Firefox, và Apple Safari để tương tác với các dịch vụ trên mạng cục bộ. Lỗ hổng này chỉ ảnh hưởng đến các thiết bị chạy Linux và macOS, không hoạt động trên hệ điều hành Windows.

Chi tiết về lỗ hổng

Được báo cáo lần đầu tiên vào năm 2008, lỗ hổng này vẫn chưa được khắc phục trên các trình duyệt Chrome, Firefox và Safari, mặc dù cả ba đều đã thừa nhận vấn đề và đang nỗ lực đưa ra bản sửa lỗi.

Lỗ hổng “0.0.0.0 Day” bắt nguồn từ sự không nhất quán trong các cơ chế bảo mật trên các trình duyệt khác nhau và sự thiếu tiêu chuẩn hóa. Điều này cho phép các trang web công cộng giao tiếp với các dịch vụ mạng cục bộ bằng địa chỉ IP “wildcard” 0.0.0.0.

Thông thường, địa chỉ 0.0.0.0 đại diện cho tất cả các địa chỉ IP trên máy cục bộ hoặc tất cả các giao diện mạng trên máy chủ. Nó có thể được sử dụng như một địa chỉ chờ trong các yêu cầu DHCP hoặc được hiểu là localhost (127.0.0.1) khi sử dụng trong mạng cục bộ.

Các trang web độc hại có thể gửi yêu cầu HTTP đến địa chỉ 0.0.0.0 nhắm vào một dịch vụ đang chạy trên máy cục bộ của người dùng, và do thiếu các cơ chế bảo mật nhất quán, những yêu cầu này thường được xử lý bởi dịch vụ đó.

Tấn công đang diễn ra

Rủi ro này không chỉ là lý thuyết. Các nhà nghiên cứu từ Oligo Security đã ghi nhận nhiều trường hợp lỗ hổng “0.0.0.0 Day” bị khai thác trong thực tế. Một ví dụ là chiến dịch tấn công ShadowRay, nhắm vào các khối lượng công việc AI đang chạy cục bộ trên các máy tính của nhà phát triển.

Ngoài ra, một chiến dịch khác nhắm vào Selenium Grid đã được phát hiện vào tháng trước. Trong chiến dịch này, các tin tặc sử dụng JavaScript trên một miền công cộng để gửi các yêu cầu đến ‘http://0[.]0[.]0[.]0:4444′, cho phép chúng thực thi mã hoặc tiến hành thăm dò mạng.

Phản hồi từ các nhà phát triển trình duyệt

Trước những phát hiện của Oligo, các nhà phát triển trình duyệt đã bắt đầu hành động. Google Chrome đã quyết định chặn quyền truy cập vào địa chỉ 0.0.0.0 theo lộ trình triển khai dần dần từ phiên bản 128 đến phiên bản 133. Mozilla Firefox, mặc dù chưa triển khai tính năng Private Network Access (PNA), nhưng đã ưu tiên phát triển tính năng này. Trong khi đó, Apple đã thực hiện các thay đổi trên WebKit để chặn truy cập vào địa chỉ 0.0.0.0 trong phiên bản Safari 18 sắp tới, đi kèm với macOS Sequoia.

Khuyến nghị

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, Trung tâm VNCERT/CC khuyến nghị người dùng được khuyến cáo cho đến khi các bản sửa lỗi được triển khai, cần thực hiện các biện pháp bảo mật sau:

Triển khai các header PNA.
Xác minh các header HOST để bảo vệ chống lại các cuộc tấn công DNS rebinding.
Không tin tưởng vào localhost – thêm cơ chế xác thực, ngay cả khi là truy cập cục bộ.
Sử dụng HTTPS bất cứ khi nào có thể.
Triển khai mã token CSRF, ngay cả đối với các ứng dụng cục bộ.