「0.0.0.0」へのアクセスを悪用してローカル環境に侵入できる脆弱性「0.0.0.0 Day」が発見される

Chrome、FireFox、Safariといった主要ブラウザにおけるIPアドレス「0.0.0.0」の扱い方に問題があり、問題を悪用することで攻撃者が攻撃対象のローカル環境にアクセスできることが明らかになりました。問題を発見したセキュリティ企業のOligo Securityは、この脆弱(ぜいじゃく)性を「0.0.0.0 Day」と名付けて注意喚起しています。

0.0.0.0 Day: Exploiting Localhost APIs From the Browser | Oligo Security
https://www.oligo.security/blog/0-0-0-0-day-exploiting-localhost-apis-from-the-browser

Oligo Securityによると、主要なブラウザでは「『0.0.0.0』へのアクセスを『localhost (127.0.0.1)』にリダイレクトする」という動作が採用されているとのこと。この動作を悪用すると、「悪意あるコードを含むウェブサイトやメールを作成し、アクセスしてきた攻撃対象のローカル環境に侵入する」という攻撃が実行可能になります。

Oligo SecurityはAI処理フレームワーク「Ray」に存在する脆弱性「ShadowRay」と今回発見した「0.0.0.0 Day」を組み合わせることで、Rayを実行している攻撃対象のローカル環境に侵入して攻撃用のシェルを起動することに成功しています。以下の静止画をクリックすると、攻撃実行の様子を記録したGIFアニメーションを確認できます。

「0.0.0.0 Day」はmacOSとLinux上で実行されるChrome、FireFox、Safariなどの主要ブラウザが影響を受けます。WindowsはOSレベルで「0.0.0.0」へのアクセスをブロックしているため、「0.0.0.0 Day」の影響を受けません。

Oligo Securityはすでに主要ブラウザの開発者に対して「0.0.0.0 Day」の存在を報告しています。すでに、GoogleはChrome 133までに対応を完了することを決定しており、AppleもWebKitに「0.0.0.0」をブロックする変更を導入しています。

一方で、FireFoxでは「0.0.0.0 Day」への対応が決定していません。Mozillaは「0.0.0.0 Day」への対応が遅れている理由について「localhostにアクセスするために『0.0.0.0』を使用しているユーザーが存在しており、『0.0.0.0』をブロックするとサーバーへのアクセスが不可能になる場合がある」と説明しています。