Samy kamkar (poznati istraživač sigurnosti poznat po stvaranju nekoliko sofisticiranih uređaja za napad, kao što je keylogger na USB punjaču telefona) je uveo novu tehniku napada pod nazivom “NAT slipstreaming”.
Napad omogućava, prilikom otvaranja stranice u pretraživaču, uspostavljanje veze sa servera napadača na bilo koji UDP ili TCP port na korisnikovom sistemu koji se nalazi iza prevodioca adresa. Komplet alata za napad je objavljen na GitHubu.
Metoda oslanja se na zavaravanje mehanizma za praćenje ALG veze (Pristupnici na nivou aplikacije) u prevodiocima adresa ili zaštitnim zidovima, koji se koriste za organizaciju NAT prosljeđivanja protokola koji koriste više mrežnih portova (jedan za podatke i jedan za kontrolu), kao što je SIP. H323, IRC DCC i FTP.
Napad je primjenjiv na korisnike koji se povezuju na mrežu koristeći interne adrese iz intranet opsega (192.168.xx, 10.xxx) i omogućava slanje bilo kojih podataka na bilo koji port (bez HTTP zaglavlja).
Da izvrši napad, dovoljno je da žrtva izvrši JavaScript kod koji je pripremio napadač, na primjer, otvaranjem stranice na web stranici napadača ili gledanjem zlonamjernog oglasa na legitimnoj web stranici.
U prvoj fazi, napadač dobije informacije o internoj adresi korisnika, što se može odrediti pomoću WebRTC-a ili, ako je WebRTC onemogućen, napadima grube sile s mjerenjem vremena odgovora kada se traži skrivena slika (za postojeće hostove, pokušaj traženja slike je brži nego za nepostojeće zbog isteka vremena prije vraćanja TCP RST odgovor).
U drugoj fazi, JavaScript kod izvršeno u pretraživaču žrtve generira veliki HTTP POST zahtjev (koji se ne uklapa u paket) na server napadača koristeći nestandardni broj mrežnog porta za pokretanje podešavanja parametara TCP fragmentacije i MTU veličine na TCP steku žrtve.
Kao odgovor, server napadača vraća TCP paket sa MSS opcijom (Maximum Segment Size), koji određuje maksimalnu veličinu primljenog paketa. U slučaju UDP-a, manipulacija je slična, ali se oslanja na slanje velikog WebRTC TURN zahtjeva za pokretanje fragmentacije na IP nivou.
„NAT Slipstreaming eksploatiše korisnikov pretraživač zajedno sa mehanizmom za praćenje konekcije na nivou aplikacije (ALG) ugrađenim u NAT, rutere i firewall tako što povezuje internu ekstrakciju IP-a putem vremenskog ili WebRTC napada, fragmentacije otkrivanja IP-a i automatizovanog udaljenog MTU-a, veličine TCP paketa masiranje, zloupotreba TURN autentikacije, fino podešavanje granica paketa i zbrka protokola zbog zloupotrebe pretraživača”, rekao je Kamkar u analizi.
Glavna ideja je što, znajući parametre fragmentacije, može pošaljite veliki HTTP zahtjev, čiji će rep pasti na drugi paket. Istovremeno, red koji ulazi u drugi paket se bira tako da ne sadrži HTTP zaglavlja i isječe se na podatke koji u potpunosti odgovaraju drugom protokolu za koji je podržano NAT prelazak.
U trećoj fazi, koristeći gornju manipulaciju, JavaScript kod generiše i šalje posebno odabrani HTTP zahtjev (ili TURN za UDP) na TCP port 5060 servera napadača, koji će nakon fragmentacije biti podijeljen u dva paketa: paket sa HTTP zaglavljima i dijelom podataka i važećim SIP paketom sa internim IP-om žrtve.
Sistem za praćenje veza u mrežnom stogu će ovaj paket smatrati početkom SIP sesije i omogućit će prosljeđivanje paketa za bilo koji port koji je odabrao napadač, pod pretpostavkom da se ovaj port koristi za prijenos podataka.
Napad se može izvesti bez obzira na pretraživač koji se koristi. Da bi riješili problem, Mozilla programeri su predložili blokiranje mogućnosti slanja HTTP zahtjeva mrežnim portovima 5060 i 5061 povezanim sa SIP protokolom.
Programeri Chromium, Blink i WebKit motora također namjeravaju implementirati sličnu mjeru zaštite.
Izvor: https://samy.pl