NAT slipstreaming, et bypass-angreb giver adgang til enhver TCP / UDP-tjeneste

Samy kamkar (en berømt sikkerhedsforsker kendt for at skabe forskellige sofistikerede angrebsenheder, såsom en keylogger på en USB-telefonoplader) har introduceret en ny angrebsteknik kaldet "NAT slipstreaming".

Angrebet tillader, når der åbnes en side i en browser, at oprette en forbindelse fra angriberens server til enhver UDP- eller TCP-port på brugerens system bag adresseoversætteren. Attack Toolkit er offentliggjort på GitHub.

Metoden stoler på at narre ALG-forbindelsessporingsmekanismen (Application Level Gateways) i adresseoversættere eller firewalls, der bruges til at orkestrere NAT-videresendelse af protokoller, der bruger flere netværksporte (én til data og én til kontrol), såsom SIP. H323, IRC DCC og FTP.

Angrebet gælder for brugere, der opretter forbindelse til netværket ved hjælp af interne adresser fra intranetområdet (192.168.xx, 10.xxx) og tillader, at data sendes til en hvilken som helst port (ingen HTTP-headere).

For at udføre et angreb, det er tilstrækkeligt for offeret at udføre JavaScript-koden udarbejdet af angriberenFor eksempel ved at åbne en side på angriberens websted eller se en ondsindet annonce på et legitimt websted.

I en første fase angriberen får oplysninger om brugerens interne adresse, som kan bestemmes af WebRTC eller, hvis WebRTC er deaktiveret, ved brute force-angreb med responstidsmåling ved at anmode om et skjult billede (for eksisterende værter er et forsøg på at anmode om et billede hurtigere end for ikke-eksisterende på grund af timeout før returnering et TCP RST-svar).

I anden fase JavaScript-koden udført i offerets browser genererer en stor HTTP POST-anmodning (som ikke passer i en pakke) til angriberens server ved hjælp af et ikke-standard netværksportnummer for at starte tuning af TCP-fragmenteringsparametre og MTU-størrelse på offerets TCP-stak.

Som svar, angriberens server returnerer en TCP-pakke med MSS-indstillingen (Maximum Segment Size), som bestemmer den maksimale størrelse på den modtagne pakke. For UDP er manipulationen ens, men er afhængig af at sende en stor WebRTC TURN-anmodning for at udløse fragmentering på IP-niveau.

«NAT Slipstreaming udnytter brugerens browser i forbindelse med Application Level Gateway (ALG) -forbindelsessporingsmekanismen indbygget i NAT, routere og firewalls ved at kæde intern IP-ekstraktion gennem et tidsangreb eller WebRTC, fragmenteringsopdagelse af automatiseret ekstern IP og MTU, TCP massering af pakkestørrelse, misbrug af TURN-godkendelse, præcis kontrol af pakkegrænser og protokolforvirring fra browsermisbrug, "sagde Kamkar i en analyse.

Hovedideen er det ved at kende fragmenteringsparametrene kan send en stor HTTP-anmodning, hvis kø falder på den anden pakke. Samtidig er køen, der kommer ind i den anden pakke, valgt, så den ikke indeholder HTTP-headere og afskæres på data, der fuldt ud svarer til en anden protokol, som NAT-traversal er understøttet for.

I den tredje fase, ved hjælp af ovenstående manipulation, genererer og sender JavaScript-koden en specielt udvalgt HTTP-anmodning (eller TURN for UDP) til TCP-port 5060 på angriberens server, som efter fragmentering vil blive opdelt i to pakker: en pakke med HTTP-headers og en del af dataene og en gyldig SIP-pakke med offerets interne IP.

Systemet til sporing af forbindelser på netværksstakken vil betragte denne pakke som begyndelsen på en SIP-session og det tillader videresendelse af pakke til enhver port valgt af angriberen, forudsat at denne port bruges til datatransmission.

Angrebet kan udføres uanset hvilken browser der bruges. For at løse problemet foreslog Mozilla-udviklere at blokere muligheden for at sende HTTP-anmodninger til netværksportene 5060 og 5061, der er forbundet med SIP-protokollen.

Udviklerne af Chrom-, Blink- og WebKit-motorerne har også til hensigt at gennemføre en lignende beskyttelsesforanstaltning.

kilde: https://samy.pl


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.