Durante casi dos décadas, una falla de seguridad ha permanecido oculta en los navegadores web que usamos a diario, exponiendo a millones de usuarios a posibles ataques sin que nadie se diera cuenta. Conocida como la vulnerabilidad "0.0.0.0", esta vulnerabilidad permite a los hackers acceder a dispositivos en la red local a través del navegador, afectando principalmente a Chrome, Safari y Firefox.
Una vulnerabilidad descubierta hace 18 años, conocida como "0.0.0.0 Day", permite a sitios web maliciosos evadir las medidas de seguridad en Google Chrome, Mozilla Firefox y Apple Safari, y conectarse con servicios en una red local. Es importante destacar que esta falla afecta únicamente a dispositivos que utilizan Linux y macOS, sin impactar a sistemas operativos Windows.
En los dispositivos vulnerables, los atacantes pueden aprovechar esta brecha para modificar configuraciones de manera remota, acceder sin autorización a información protegida e incluso ejecutar código de forma remota.
Aunque el problema fue identificado años atrás, sigue sin resolverse en Chrome, Firefox y Safari. Las empresas detrás de estos navegadores han reconocido la vulnerabilidad y están trabajando en una solución. Además, se ha observado que múltiples actores malintencionados están explotando activamente esta vulnerabilidad como parte de sus estrategias de ataque, lo que demuestra que el riesgo no es solo teórico, sino una amenaza real y presente.
Este problema se origina a partir de una dirección IP aparentemente inofensiva, la 0.0.0.0, que los navegadores emplean en ciertos casos, como cuando necesitan asignar temporalmente una dirección IP hasta que la dirección real del dispositivo y la red estén disponibles.
Podría interesarte leer: Seguridad de Navegadores con Endpoint Central
Desafortunadamente, el riesgo asociado con la vulnerabilidad "0.0.0.0 Day" no es meramente teórico. Se han identificado varios casos en los que esta vulnerabilidad ha sido activamente explotada en el mundo real.
Uno de los ejemplos más notables es la campaña ShadowRay, documentada en marzo pasado. Esta campaña tiene como objetivo las cargas de trabajo de inteligencia artificial que se ejecutan localmente en las máquinas de los desarrolladores, específicamente en clústeres Ray.
El ataque se inicia cuando la víctima hace clic en un enlace recibido por correo electrónico o encontrado en un sitio web malicioso. Este enlace activa un script en JavaScript que envía una solicitud HTTP a 'http://0[.]0[.]0[.]0:8265', una dirección comúnmente utilizada por Ray.
Estas solicitudes alcanzan el clúster Ray local, lo que puede dar lugar a la ejecución arbitraria de código, shells inversos y cambios en la configuración del sistema, exponiendo a los desarrolladores a serios riesgos de seguridad.
Exploit utilizado en la campaña ShadowRay
Otro ejemplo reciente es una campaña dirigida a Selenium Grid, que fue descubierta el mes pasado. En esta campaña, los atacantes emplean JavaScript desde un dominio público para enviar solicitudes a "http://0[.]0[.]0[.]0:4444".
Estas solicitudes se dirigen a los servidores de Selenium Grid, lo que permite a los atacantes ejecutar código malicioso o llevar a cabo tareas de reconocimiento dentro de la red.
Por último, en octubre de 2023, se informó sobre la vulnerabilidad "ShellTorch", donde se descubrió que el panel web de TorchServe estaba configurado por defecto para estar vinculado a la dirección IP 0.0.0.0 en lugar de a localhost, lo que lo hacía susceptible a solicitudes maliciosas.
Conoce más sobre: ¿Tu software está al día?: Importancia de los Parches
La vulnerabilidad "0.0.0.0 Day" es de gran alcance y afecta tanto a organizaciones como a usuarios particulares. Los navegadores que presentan este problema son Chromium, de Google; Firefox, de Mozilla; y Safari, de Apple, aunque solo en los sistemas operativos macOS y Linux. Los usuarios y administraciones que utilizan Windows pueden estar tranquilos, ya que este sistema no se ve afectado.
Tanto Apple como Google han reconocido el problema y han tomado medidas para solucionarlo. Google ha comenzado a bloquear el acceso a la dirección IP 0.0.0.0 en Chromium 128 (Finch Rollout) y planea extender este bloqueo a versiones futuras, lo que garantizará que la IP quede completamente inaccesible para todos los usuarios de Chrome y Chromium en las próximas semanas.
Apple también ha implementado cambios en WebKit para bloquear el acceso a 0.0.0.0 y evitar que sitios web envíen solicitudes maliciosas a través de esta dirección. Se espera que el parche esté disponible en Safari 18, que llegará con iOS 18 a partir de septiembre, y también en versiones de Safari para macOS y iPadOS. Por su parte, Mozilla ha confirmado que está investigando la vulnerabilidad, aunque no ha proporcionado una solución definitiva por el momento.