Samy Kamkar (Un famós investigador de seguretat conegut per crear diversos dispositius d'atac sofisticats, com un registrador de tecles en un carregador de telèfon USB) ha introduït una nova tècnica d'atac anomenada «NAT slipstreaming».
l'atac permet, a l'obrir una pàgina en un navegador, establir una connexió des del servidor de l'atacant a qualsevol port UDP o TCP en el sistema de l'usuari situat darrere de l'traductor d'adreces. El kit d'eines d'atac es publica en GitHub.
el mètode es basa en enganyar el mecanisme de seguiment de connexions ALG (Application Level Gateways) en traductors d'adreces o tallafocs, que s'utilitza per organitzar el reenviament NAT de protocols que utilitzen múltiples ports de xarxa (un per a dades i un altre per a control), com SIP. H323, IRC DCC i FTP.
L'atac és aplicable als usuaris que es connecten a la xarxa utilitzant adreces internes de la franja de la intranet (192.168.xx, 10.xxx) i permet que qualsevol dada sigui enviat a qualsevol port (sense capçaleres HTTP).
Per dur a terme un atac, és suficient que la víctima executi el codi JavaScript preparat per l'atacant, Per exemple, obrint una pàgina en el lloc web de l'atacant o veient un anunci maliciós en un lloc web legítim.
En una primera etapa, l'atacant obté informació sobre la direcció interna de l'usuari, la qual es pot determinar mitjançant WebRTC o, si WebRTC està deshabilitat, mitjançant atacs de força bruta amb mesurament de el temps de resposta a l'sol·licitar una imatge oculta (per als hosts existents, un intent de sol·licitar una imatge és més ràpid que per als inexistents a causa temps d'espera abans de tornar una resposta TCP RST).
En la segona etapa, el codi JavaScript executat en el navegador de la víctima genera una sol·licitud HTTP POST gran (Que no cap en un paquet) a servidor de l'atacant utilitzant un número de port de xarxa no estàndard per iniciar l'ajust dels paràmetres de fragmentació de TCP i la mida de MTU a la pila TCP de la víctima.
En resposta, el servidor de l'atacant retorna un paquet TCP amb l'opció MSS (Mida màxima de segment), que determina la grandària màxima de l'paquet rebut. En el cas d'UDP, la manipulació és similar, però es basa en l'enviament d'una sol·licitud TURN de WebRTC gran per desencadenar la fragmentació a nivell d'IP.
«NAT Slipstreaming explota el navegador d'l'usuari juntament amb el mecanisme de seguiment de connexió Application Level inici (ALG) integrat en NAT, encaminadors i tallafocs a l'encadenar l'extracció d'IP interna a través d'un atac de temps o WebRTC, la descoberta de fragmentació d'IP i MTU remot automatitzat, mida del paquet TCP el massatge, l'ús indegut de l'autenticació TURN, el control precís dels límits dels paquets i la confusió de l'protocol per abús de navegador «, va dir Kamkar en una anàlisi.
La idea principal és que, coneixent els paràmetres de fragmentació, pot enviar una sol·licitud HTTP gran, la cua caurà en el segon paquet. A el mateix temps, la cua que entra en el segon paquet es selecciona per que no contingui capçaleres HTTP i es talli en les dades que corresponen completament a un altre protocol per al qual s'admet la cruïlla de NAT.
En la tercera etapa, utilitzant la manipulació anterior, el codi JavaScript genera i envia una sol·licitud HTTP especialment seleccionada (o TURN per UDP) a el port TCP 5060 de servidor de l'atacant, que, després de la fragmentació, es dividirà en dos paquets: XNUMX paquet amb capçaleres HTTP i part de les dades i un paquet SIP vàlid amb la IP interna de la víctima.
El sistema per rastrejar connexions a la pila de xarxa considera que aquest paquet és el començament d'una sessió SIP i permetrà el reenviament de paquets per a qualsevol port seleccionat per l'atacant, assumint que aquest port es fa servir per a la transmissió de dades.
L'atac es pot dur a terme independentment de el navegador utilitzat. Per resoldre el problema, els desenvolupadors de Mozilla van suggerir bloquejar la capacitat d'enviar sol·licituds HTTP als ports de xarxa 5060 i 5061 associats amb el protocol SIP.
Els desenvolupadors dels motors Chromium, Blink i WebKit també pretenen implementar una mesura de protecció similar.
font: https://samy.pl