Esta vulnerabilidad ha sido identificada por el equipo de Oligo Security. El virus denominado día cero o "zero-day" que se ha identificado en los principales navegadores ha permitido que sitios web externs se comuniquen e indaguen el software que se ejecuta en MacOS y Linux. Como punto beneficioso para Microsoft, Windows se "libra de este problema".
El equipo de Oligo Security ha indicado en su blog que 0.0.0.0 Day es de largo alcance y afecta tanto a personas individuales como a organizaciones y empresas.
Para proporcionar un poco de contexto, esta vulnerabilidad se remonta a 2006. Desde entonces, su huella ha abierto la puerta a los ciberdelincuentes para que puedan acceder a servicios confidencialesque se utilizan en dispositivos locales mediante los navegadores web de Google, Mozilla y Apple.
En términos técnicos, el problema se encuentra en una IP "inofensiva" 0.0.0.0 que "puede convertirse en una herramienta" para que los ciberdelincuentes atenten contra los servicios locales y lleven a cabo códigos maliciosos.
Los investigadores también han destacado que un usuario informó sobre este error a Mozilla en 2006
Asimismo, el motivo es que los sitios web de acceso público (como los que utilizan el dominio .com) pueden establecer comunicación con servicios que se ejecutan en la red local (localhost) de los dispositivos objetivo y, posiblemente, ejecutar código arbitrario en el 'host' del usuario utilizando la dirección 0.0.0.0. Los investigadores también han destacado que un usuario informó sobre este error a Mozilla en 2006, afirmando que sitios web de acceso público habían atacado su enrutador en la red interna, en un momento en el que "las redes internas e internet en general eran inseguras por diseño".
Por lo tanto, muchos servicios carecían de autenticación y los certificados de seguridad SSL y HTTPS no estaban ampliamente implementados en todas las páginas web, lo que provocaba que muchas de ellas se cargaran a través de una conexión HTTP insegura.
A pesar de haber reportado este error, durante los 18 años transcurridos desde entonces hasta ahora, "este problema se ha cerrado, reabierto y vuelto a priorizar como grave y crítico", pero no se han tomado las medidas correspondientes para solucionarlo. Ante esto, Oligo Security ha indicado que, tras divulgar de manera "responsable" esta vulnerabilidad, se han compartido documentos de solicitud de comentarios (RFC, por sus siglas en inglés), lo que significa que algunos navegadores "pronto bloquearán por completo el acceso a 0.0.0.0".
De hecho, según información proporcionada a Forbes por parte de Apple, se están llevando a cabo una serie de modificaciones en la versión beta de su sistema operativo más reciente, macOS Sequoia, con el fin de resolver el problema.
Sin embargo, la compañía de ciberseguridad ha advertido que Apple ha realizado "cambios significativos en WebKit" para bloquear el acceso a 0.0.0.0 y ha agregado una marca de verificación a la dirección IP del 'host' de destino. De esta manera, cuando se detecta que la solicitud consiste en todo ceros, se bloquea.
Por su parte, Chrome ha compartido en su sitio web que "está eliminando el acceso directo a los 'endpoints' de la red privada desde sitios web públicos como parte de la especificación de acceso a la red privada (PNA, por sus siglas en inglés). Esto se está realizando a partir de Chromium 128, un cambio que se implementará de manera gradual en las próximas versiones para completarse en Chrome 133. En este momento, "la dirección IP quedará bloqueada por completo para todos los usuarios de Chrome y Chromium", según Oligo Security.
Por el momento, Mozilla no ha lanzado una solución inmediata para Firefox, aunque se encuentra en proceso. De hecho, los investigadores han señalado que el navegador "nunca ha restringido el acceso a la red privada, por lo que, técnicamente, siempre ha sido permitido". Sin embargo, ha habido un cambio en la especificación RFC y se ha priorizado la implementación de PNA, aunque ésta aún no se ha completado.