Сами Камкар (известен изследовател на сигурността, известен със създаването на различни усъвършенствани устройства за атака, като например кейлоггер на зарядно устройство за USB телефон) представи нова техника за атака, наречена "NAT slipstreaming".
Атаката позволява при отваряне на страница в браузър да установи връзка от сървъра на нападателя към всеки UDP или TCP порт в системата на потребителя, разположен зад преводача на адреси. Наръчникът за атаки е публикуван на GitHub.
Методът разчита на заблуда на механизма за проследяване на връзката ALG (Application Level Gateways) в адресни преводачи или защитни стени, който се използва за организиране на NAT пренасочването на протоколи, които използват множество мрежови портове (един за данни и един за контрол), като SIP. H323, IRC DCC и FTP.
Атаката е приложима за потребители, които се свързват към мрежата използване на вътрешни адреси от интранет диапазона (192.168.xx, 10.xxx) и позволява изпращането на всякакви данни до всеки порт (без HTTP заглавки).
За да извършите атака, достатъчно е жертвата да изпълни JavaScript кода, изготвен от нападателяНапример чрез отваряне на страница в уебсайта на нападателя или гледане на злонамерена реклама на легитимен уебсайт.
На първи етап, нападателят получава информация за вътрешния адрес на потребителя, Това може да се определи от WebRTC или, ако WebRTC е деактивиран, чрез атаки с груба сила с измерване на времето за реакция при заявяване на скрито изображение (за съществуващите хостове опит за заявка на изображение е по-бърз, отколкото за несъществуващи такива поради изчакване преди връщане TCP RST отговор).
На втория етап JavaScript кодът изпълнени в браузъра на жертвата генерира голяма HTTP POST заявка (който не се побира в пакет) към сървъра на нападателя, използвайки нестандартен номер на мрежовия порт, за да инициира настройка на параметрите на TCP фрагментация и размера на MTU на TCP стека на жертвата.
В отговор, сървърът на нападателя връща TCP пакет с опцията MSS (Максимален размер на сегмента), който определя максималния размер на получения пакет. В случая на UDP манипулацията е подобна, но разчита на изпращане на голяма заявка WebRTC TURN за задействане на фрагментация на ниво IP.
«NAT Slipstreaming използва браузъра на потребителя във връзка с механизма за проследяване на връзката Application Level Gateway (ALG), вграден в NAT, рутери и защитни стени, чрез верижно вътрешно извличане на IP чрез атака във времето или WebRTC, откриване на фрагментация на автоматизирани отдалечени IP и MTU, TCP масажиране на размера на пакета, злоупотреба с TURN удостоверяване, прецизен контрол на ограниченията на пакетите и объркване на протокола от злоупотреба с браузъра “, каза Камкар в анализ.
Основната идея е че, знаейки параметрите на фрагментация, може изпратете голяма HTTP заявка, опашката от която ще падне върху втория пакет. В същото време опашката, която влиза във втория пакет, се избира така, че да не съдържа HTTP заглавки и да се изрязва върху данни, които напълно съответстват на друг протокол, за който се поддържа обръщане на NAT.
На третия етап, използвайки горната манипулация, JavaScript кодът генерира и изпраща специално избрана HTTP заявка (или TURN за UDP) към TCP порт 5060 на сървъра на атакуващия, който след фрагментация ще бъде разделен на два пакета: a пакет с HTTP заглавки и част от данните и валиден SIP пакет с вътрешния IP на жертвата.
Системата за проследяване на връзки в мрежовия стек ще счита този пакет за начало на SIP сесия и ще позволи пренасочване на пакети за всеки порт, избран от нападателя, ако приемем, че този порт се използва за предаване на данни.
Атаката може да бъде извършена независимо от използвания браузър. За да разрешат проблема, разработчиците на Mozilla предложиха да блокират възможността за изпращане на HTTP заявки до мрежови портове 5060 и 5061, свързани със SIP протокола.
Разработчиците на двигателите Chromium, Blink и WebKit също планират да приложат подобна мярка за защита.
Fuente: https://samy.pl