30/09/2024
"0.0.0.0 Day" จาก IP เก่าแก่ สู่ภัยคุกคามที่กำลังทำให้การท่องเว็บของคุณอยู่ในอันตราย
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบช่องโหว่ "0.0.0.0 Day" ซึ่งส่งผลกระทบต่อเว็บเบราว์เซอร์หลักทุกตัว โดยเว็บไซต์ที่เป็นอันตรายสามารถหลบเลี่ยงการรักษาความปลอดภัยของเว็บเบราว์เซอร์และสื่อสารกับบริการเครือข่ายภายในเครื่องได้ ด้วยเหตุนี้ ที่อยู่ IP ที่ดูเหมือนไม่เป็นอันตราย เช่น 0.0.0.0 จึงสามารถถูกนำมาใช้เป็นอาวุธให้อาญชากรทางไซเบอร์ฉวยโอกาสได้ง่ายขึ้น โดยช่องโหว่นี้มีอยู่มาตั้งแต่ปี 2006 หรือ 18 ปีมาแล้ว
ช่องโหว่ดังกล่าวนี้เกิดจากการขาดมาตรฐานในการจัดการขบวนการ Request ของเบราว์เซอร์ โดย IP 0.0.0.0 มีการใช้งานหลายรูปแบบ เช่น การแทนที่ IP ทั้งหมดบนโฮสต์หรือใช้เป็นตัวแทนของ Localhost ซึ่งเว็บไซต์ภายนอกสามารถใช้ที่อยู่ IP นี้เพื่อสื่อสารกับบริการหรือเข้าถึง Services ต่างๆ ที่ทำงานอยู่ภายในอุปกรณ์ของเราได้ง่ายขึ้น ช่องโหว่นี้อาจนำไปสู่การเข้าถึงโดยไม่ได้รับอนุญาตและสามารถรันโค้ดจากระยะไกลได้ จึงเป็นการเปิดช่องทางให้อาญชากรสามารถเข้าถึงข้อมูลที่สำคัญได้ง่าย ๆ
0.0.0.0 Day ส่งผลกระทบต่อ Google Chrome/Chromium, Mozilla Firefox, และ Apple Safari ซึ่งอนุญาตให้เว็บไซต์ภายนอกสามารถสื่อสารกับซอฟต์แวร์ที่ทำงานอยู่ในระบบ MacOS และ Linux ได้ ขณะที่ Windows ไม่ได้รับผลกระทบเนื่องจาก Microsoft ทำการบล็อกการเข้าถึงที่อยู่ IP ในระดับระบบปฏิบัติการไว้อยู่แล้ว
ที่น่าสนใจคือนักวิจัยพบว่าเว็บไซต์สาธารณะที่ใช้โดเมนลงท้ายด้วย ".com" สามารถสื่อสารกับบริการที่ทำงานบน Local Network และรันโค้ดที่เป็นอันตรายบนเครื่องของผู้เยี่ยมชมได้ โดยใช้ที่อยู่ 0.0.0.0 แทนที่จะเป็น Localhost/127.0.0.1 ช่องโหว่นี้ยังสามารถหลบเลี่ยง เครือข่ายส่วนบุคคล (Private Network Access : PNA) ซึ่งถูกออกแบบมาเพื่อห้ามไม่ให้เว็บไซต์สาธารณะเข้าถึงจุดเชื่อมต่อที่อยู่ในเครือข่ายส่วนตัวโดยตรง
นอกจากนี้แอปพลิเคชันใดๆ ก็ตามที่ทำงานบน Localhost และสามารถเข้าถึงได้ผ่าน 0.0.0.0 อาจตกเป็นเป้าหมายของการรันโค้ดระยะไกล (Remote Code Ex*****on : RCE) รวมถึงอินสแตนซ์ของ Selenium Grid บนเครื่องที่สามารถถูกโจมตีผ่านการส่งคำขอ POST ไปยัง 0.0.0[.]0:4444 พร้อมกับ Payload พูดง่าย ๆ คือ หากมีเว็บเพจที่ไม่ปลอดภัยถูกออกแบบมาให้ส่งคำร้องไปที่ IP 0.0.0.0 และพอร์ต 4444 ซึ่งเป็นพอร์ตที่ Selenium Grid เปิดใช้งานอยู่ในเครื่อง หากไม่มีการป้องกันที่ดีพอ คำร้องนี้อาจถูกประมวลผลและรันโค้ดที่แฮกเกอร์ส่งมาได้ ซึ่งจะส่งผลให้เครื่องของผู้ใช้ถูกโจมตีหรือควบคุมจากระยะไกลได้
ซึ่งหลังจากการค้นพบในครั้งนี้ เว็บเบราว์เซอร์ต่างๆ เริ่มมีนโยบายบล็อกการเข้าถึง 0.0.0.0 โดยสมบูรณ์ เพื่อหยุดการเข้าถึงจุดเชื่อมต่อของเครือข่ายส่วนตัวจากเว็บไซต์สาธารณะโดยตรงซึ่งเริ่มต้นมาตั้งแต่ช่วงเดือนเมษายน 2024 ที่ผ่านมา
ผู้ที่ใช้บริการ Domain ส่วนบุคคล หรือ Localhost มักจะคิดว่าอยู่ในสภาพแวดล้อมที่ปลอดภัย แต่ในกรณีนี้ ความคิดนั้นอาจจะไม่ถูกต้องอีกต่อไป "ด้วยการใช้ 0.0.0.0 ร่วมกับโหมด 'no-cors' ผู้โจมตีสามารถใช้โดเมนสาธารณะโจมตีบริการที่ทำงานบน Localhost และรันโค้ดได้ตามต้องการ เพียงแค่ส่งคำขอ HTTP ครั้งเดียว"
วิธีรับมือ
เพื่อป้องกันช่องโหว่ "0.0.0.0 Day" อย่างครอบคลุมและมีประสิทธิภาพ ควรใช้วิธีการที่หลากหลายดังนี้:
1. อัปเดตเบราว์เซอร์: ผู้ใช้ควรอัปเดตเว็บเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุดเสมอ เนื่องจากผู้พัฒนาเบราว์เซอร์อย่าง Google, Mozilla, และ Apple จะปล่อยแพตช์แก้ไขเพื่อปิดกั้นการเข้าถึง IP 0.0.0.0 ที่เป็นอันตราย
2. การใช้ Web Isolation
ลดความเสี่ยงจากการโจมตี: การที่เว็บเพจทำงานในสภาพแวดล้อมที่แยกออกไปจะช่วยลดความเสี่ยงจากการโจมตีที่พยายามเข้าถึงบริการในเครื่อง เช่น Localhost หรือ 0.0.0.0
ป้องกันการเข้าถึงข้อมูลในเครื่อง: จากการทำงานของเว็บเพจที่ถูกแยกออกไป จะช่วยให้ข้อมูลที่อยู่ในเครื่องไม่ถูกเปิดเผยต่อเว็บเพจที่มีเจตนาร้าย
เพิ่มความปลอดภัยระดับเบราว์เซอร์: Web Isolation ยังช่วยเพิ่มความปลอดภัยในการใช้งานเว็บเบราว์เซอร์โดยรวม ลดความเสี่ยงจากการโจมตีผ่านช่องโหว่ต่าง ๆ
3. การป้องกันแบบหลายชั้น (Defense in Depth)
ใช้การป้องกันหลายชั้น เช่น WAF (Web Application Firewall), IDS/IPS (Intrusion Detection/Prevention Systems) และการกำหนดค่า Firewall อย่างเหมาะสมจะช่วย เสริมสร้างความปลอดภัยในกรณีที่ชั้นใดชั้นหนึ่งถูกเจาะ
การกรองคำขอที่น่าสงสัย: WAF สามารถช่วยกรองคำขอที่อาจเป็นอันตรายได้ โดยใช้กฎเกณฑ์ในการตรวจจับและปิดกั้นคำขอที่ผิดปกติ ซึ่งอาจรวมถึงการโจมตีประเภท Cross-Site Scripting (XSS) หรือการโจมตีอื่น ๆ ที่พยายามใช้ประโยชน์จากช่องโหว่ในเว็บแอปพลิเคชัน
ป้องกันการโจมตีจากภายนอก: WAF สามารถช่วยป้องกันการโจมตีที่มาจากภายนอกและพยายามเข้าถึงบริการในเครือข่ายภายในได้ แต่เนื่องจากช่องโหว่ "0.0.0.0 Day" เกิดขึ้นจากฝั่งเบราว์เซอร์เอง การใช้ WAF อย่างเดียวอาจไม่สามารถป้องกันการโจมตีทั้งหมดได้
เสริมการป้องกันร่วมกับมาตรการอื่น: การใช้ WAF ควรเป็นส่วนหนึ่งของกลยุทธ์การป้องกันแบบหลายชั้น (Defense-in-Depth) โดยรวม WAF กับการแก้ไขช่องโหว่ที่ฝั่งเบราว์เซอร์และแอปพลิเคชันในเครื่อง
4. เพิ่มการยืนยันสิทธิ์การเข้าถึง (Authentication)
แอปพลิเคชันที่รันบน Localhost ก็ควรมีการยืนยันสิทธิ์ เช่น การใช้ Tokens หรือระบบ Login เพื่อป้องกันการโจมตี
5. ใช้เครื่องมือการวิเคราะห์ความเสี่ยง
วิเคราะห์และติดตามความเสี่ยง: ใช้เครื่องมือการวิเคราะห์ความเสี่ยง เพื่อประเมินความเสี่ยงและป้องกันการโจมตีที่อาจเกิดขึ้น เช่น ความปลอดภัยของ API ที่สามารถถูกใช้โจมตีจากภายนอกได้ เครื่องมือที่ใช้สำหรับการสแกนและประเมินช่องโหว่ในระบบเครือข่ายและเซิร์ฟเวอร์ เครื่องมือที่ใช้ตรวจจับและวิเคราะห์ช่องโหว่ในเว็บแอปพลิเคชัน โดยเฉพาะการโจมตีประเภท XSS, SQL Injection และอื่น ๆ
Ref: https://thehackernews.com/2024/08/0000-day-18-year-old-browser.html
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com
#0.0.0.0 Day
