سامي كامكار (باحث أمني مشهور معروف بإنشاء العديد من أجهزة الهجوم المتطورة ، مثل keylogger على شاحن هاتف USB) أدخلت تقنية هجوم جديدة تسمى "NAT التسلسلي".
الهجوم يسمح ، عند فتح صفحة في مستعرض ، بإنشاء اتصال من خادم المهاجم إلى أي منفذ UDP أو TCP على نظام المستخدم الموجود خلف مترجم العنوان. تم نشر مجموعة أدوات الهجوم على GitHub.
الطريقة يعتمد على خداع آلية تتبع اتصال ALG (بوابات مستوى التطبيق) في مترجمي العناوين أو جدران الحماية ، والتي تُستخدم لتنظيم إعادة توجيه NAT للبروتوكولات التي تستخدم منافذ شبكة متعددة (واحد للبيانات والآخر للتحكم) ، مثل SIP. H323 و IRC DCC و FTP.
الهجوم ينطبق على المستخدمين الذين يتصلون بالشبكة باستخدام عناوين داخلية من نطاق الإنترانت (192.168.xx ، 10.xxx) ويسمح بإرسال أي بيانات إلى أي منفذ (بدون رؤوس HTTP).
لتنفيذ هجوم ، يكفي للضحية تنفيذ كود JavaScript الذي أعده المهاجمعلى سبيل المثال ، عن طريق فتح صفحة على موقع الويب الخاص بالمهاجم أو عرض إعلان ضار على موقع ويب شرعي.
في المرحلة الأولى ، يحصل المهاجم على معلومات حول العنوان الداخلي للمستخدم ، يمكن تحديد ذلك عن طريق WebRTC أو ، إذا تم تعطيل WebRTC ، من خلال هجمات القوة الغاشمة مع قياس وقت الاستجابة عند طلب صورة مخفية (للمضيفين الحاليين ، تكون محاولة طلب صورة أسرع من تلك غير الموجودة بسبب مهلة قبل إرجاع استجابة TCP RST).
في المرحلة الثانية ، كود JavaScript أعدم في متصفح الضحية يولد طلب HTTP POST كبير (التي لا تتناسب مع حزمة) لخادم المهاجم باستخدام رقم منفذ شبكة غير قياسي لبدء ضبط معلمات تجزئة TCP وحجم MTU في مكدس TCP الخاص بالضحية.
ردا على ذلك ، يقوم خادم المهاجم بإرجاع حزمة TCP مع خيار MSS (الحد الأقصى لحجم المقطع) ، والذي يحدد الحجم الأقصى للحزمة المستلمة. في حالة UDP ، يكون التلاعب مشابهًا ، لكنه يعتمد على إرسال طلب WebRTC TURN كبير لتشغيل التجزئة على مستوى IP.
«يستغل NAT Slipstreaming متصفح المستخدم بالاقتران مع آلية تتبع اتصال بوابة مستوى التطبيق (ALG) المضمنة في NAT والموجهات والجدران النارية عن طريق تسلسل استخراج IP الداخلي من خلال هجوم زمني أو WebRTC ، اكتشاف التجزئة من IP و MTU الأوتوماتيكي عن بعد ، وتدليك حجم حزمة TCP ، وإساءة استخدام مصادقة TURN ، والتحكم الدقيق في حدود الحزمة والتشويش في البروتوكول من إساءة استخدام المتصفح ، "قال كامكار في تحليل.
الفكرة الرئيسية هي يمكن ، بمعرفة معلمات التجزئة إرسال طلب HTTP كبير ، وستقع قائمة الانتظار على الحزمة الثانية. في الوقت نفسه ، يتم تحديد قائمة الانتظار التي تدخل الحزمة الثانية بحيث لا تحتوي على رؤوس HTTP ويتم قصها على البيانات التي تتوافق تمامًا مع بروتوكول آخر يتم دعم اجتياز NAT له.
في المرحلة الثالثة ، باستخدام المعالجة المذكورة أعلاه ، تنشئ شفرة JavaScript وترسل طلب HTTP محددًا بشكل خاص (أو TURN لـ UDP) إلى منفذ TCP رقم 5060 لخادم المهاجم ، والذي سيتم تقسيمه بعد التجزئة إلى حزمتين: a حزمة مع رؤوس HTTP وجزء من البيانات وحزمة SIP صالحة مع IP الداخلي للضحية.
نظام تتبع التوصيلات على مكدس الشبكة سوف تعتبر هذه الحزمة بداية جلسة SIP وسيسمح بإعادة توجيه الحزمة لأي منفذ يختاره المهاجم ، بافتراض أن هذا المنفذ يستخدم لنقل البيانات.
يمكن تنفيذ الهجوم بغض النظر عن المتصفح المستخدم. لحل المشكلة ، اقترح مطورو Mozilla حظر القدرة على إرسال طلبات HTTP إلى منفذي الشبكة 5060 و 5061 المرتبطين ببروتوكول SIP.
يعتزم مطورو محركات Chromium و Blink و WebKit أيضًا تنفيذ إجراء حماية مماثل.
مصدر: https://samy.pl