一个已有 18 年历史的漏洞，被称为“0.0.0.0 Day”，允许恶意网站绕过 Chrome、Firefox 和 Safari 的安全性，从而侵入本地网络。

Oligo Security 的研究团队警告称，一个已有 18 年历史的漏洞“0.0.0.0 Day”可让恶意网站绕过 Chrome、Firefox 和 Safari 的安全措施，从而侵入本地网络。

该问题可能会导致网络外的攻击者对本地服务进行未经授权的访问和远程代码执行。

Oligo Security 发布的咨询报告中写道： “该问题源于不同浏览器之间安全机制实施不一致，以及浏览器行业缺乏标准化。” “因此，看似无害的 IP 地址 0.0.0.0 可能成为攻击者利用本地服务的强大工具，包括用于开发、操作系统甚至内部网络的服务。”

专家们敦促解决此漏洞，因为他们意识到“主动利用活动”，例如 ShadowRay。

“值得注意的是，根据 Chromium 中的计数器，通信 0.0.0.0 的网站百分比正在上升。 这些页面可能是恶意的，目前该百分比占所有网站的 0.015%。”报告继续说道。“截至 2024 年 8 月，全球有 2 亿个网站，多达约10 万个 公共网站可能与 0.0.0.0 通信。下图说明了这种增长。”

“0.0.0.0 Day”漏洞揭示了浏览器管理网络请求的一个严重缺陷，可能允许恶意行为者访问本地设备上的敏感服务。

由于 IP 地址无法访问，因此该漏洞不会影响 Windows 设备。

专家们注意到，公共网站（如 .com 域名）可以与本地网络（localhost）上运行的服务进行通信，并可能通过使用地址 0.0.0.0 而不是 localhost/127.0.0.1 在访问者的主机上执行任意代码。

PNA（私人网络访问）是谷歌主导的一项举措，并且仍在不断发展和完善。专家指出，0.0.0.0 Day漏洞还绕过了谷歌在Chromium中开发的PNA（私人网络访问）机制，该机制阻止网站在从公共网站加载时通过Javascript访问127.0.0.1、localhost和其他私人IP。

该漏洞还绕过了用于集成应用程序的跨域资源共享 (CORS) 机制。CORS 定义了在一个域中加载的客户端 Web 应用程序与另一个域中的资源进行交互的方式。

最近的攻击（例如来自 SeleniumGreed 的攻击）利用已知的远程代码执行 (RCE) 漏洞利用 Selenium Grid 公共服务器获取对组织的初始访问权限。专家发现，通过向 http://0.0.0.0:4444/ 发送精心设计的 POST 请求，可以在本地 Selenium Grid 实例上远程执行任意代码。

专家观察到的另一种攻击媒介是使用本地 Selenium Grid 集群来浏览具有不安全浏览器配置的网站，从而可能允许访问 VPN 后面的内部域和私有 DNS 记录。

研究人员于 2024 年 4 月与网络浏览器开发团队分享了他们的发现，他们预计该问题将得到彻底解决。