사이버보안 연구원들은 모든 주요 웹 브라우저에 영향을 미치는 새로운 “0.0.0.0 Day”를 발견했는데, 악성 웹사이트가 이를 악용해 로컬 네트워크를 침해할 수 있습니다.
Oligo Security 연구원인 아비 루멜스키(Avi Lumelsky)는 “이 심각한 취약점은 브라우저가 네트워크 요청을 처리하는 방식에 근본적인 결함을 노출시켜 악의적인 행위자가 로컬 장치에서 실행되는 중요한 서비스에 액세스할 수 있는 가능성을 제공합니다.”라고 말했습니다.
이스라엘의 애플리케이션 보안 회사는 이 취약점이 미치는 영향이 광범위하며, 이는 보안 메커니즘의 구현이 일관되지 않고 다양한 브라우저 간 표준화가 부족하기 때문에 발생한다고 밝혔습니다.
결과적으로 0.0.0.0과 같은 무해해 보이는 IP 주소가 로컬 서비스를 악용하는 데 무기화될 수 있으며, 네트워크 외부의 공격자가 허가받지 않은 액세스와 원격 코드 실행을 초래할 수 있습니다. 이 허점은 2006년부터 존재해 왔다고 합니다.
0.0.0.0 Day는 외부 웹사이트가 MacOS 및 Linux에서 로컬로 실행되는 소프트웨어와 통신할 수 있도록 하는 Google Chrome/Chromium, Mozilla Firefox 및 Apple Safari에 영향을 미칩니다. Microsoft가 운영 체제 수준에서 IP 주소를 차단하기 때문에 Windows 기기에는 영향을 미치지 않습니다.
특히 Oligo Security는 “.com”으로 끝나는 도메인을 사용하는 공개 웹사이트가 로컬 네트워크에서 실행되는 서비스와 통신하고 localhost/127.0.0.1이 아닌 주소 0.0.0.0을 사용하여 방문자의 호스트에서 임의의 코드를 실행할 수 있다는 것을 발견했습니다.
또한 이는 개인 네트워크 접근(PNA)을 우회하는 방법으로, 공개 웹사이트가 개인 네트워크 내에 위치한 엔드포인트에 직접 접근하는 것을 금지하도록 설계되었습니다.
로컬호스트에서 실행되고 0.0.0.0을 통해 접근 가능한 모든 애플리케이션은 원격 코드 실행에 취약할 가능성이 높으며, 여기에는 조작된 페이로드를 포함한 POST 요청을 0.0.0(.)0:4444로 전송하는 로컬 Selenium Grid 인스턴스도 포함됩니다.
2024년 4월에 실시된 조사 결과에 따라 웹 브라우저는 0.0.0.0에 대한 접근을 완전히 차단할 것으로 예상되며, 그에 따라 공개 웹사이트에서 개인 네트워크 엔드포인트에 직접 접근하는 것이 불가능해질 것입니다.
“서비스가 로컬호스트를 사용할 때, 그들은 제한된 환경을 가정합니다.” 루멜스키가 말했다. “이 가정은 (이 취약점의 경우처럼) 잘못될 수 있으며, 안전하지 않은 서버 구현으로 이어집니다.”
“0.0.0.0을 ‘no-cors’ 모드와 함께 사용하면 공격자는 공개 도메인을 사용하여 로컬호스트에서 실행되는 서비스를 공격하고 심지어 임의 코드 실행(RCE)도 얻을 수 있으며, 이 모든 것이 단일 HTTP 요청으로 가능합니다.”