Samy kamkar (ένας διάσημος ερευνητής ασφάλειας γνωστός για τη δημιουργία διαφόρων εξελιγμένων συσκευών επίθεσης, όπως ένα keylogger σε φορτιστή τηλεφώνου USB) έχει εισαγάγει μια νέα τεχνική επίθεσης που ονομάζεται "NAT slipstreaming".
Η επίθεση επιτρέπει, κατά το άνοιγμα μιας σελίδας σε ένα πρόγραμμα περιήγησης, να δημιουργεί μια σύνδεση από το διακομιστή του εισβολέα σε οποιαδήποτε θύρα UDP ή TCP στο σύστημα του χρήστη που βρίσκεται πίσω από το μεταφραστή διευθύνσεων. Το Attack Toolkit δημοσιεύεται στο GitHub.
Η μέθοδος βασίζεται στην εξαπάτηση του μηχανισμού παρακολούθησης σύνδεσης ALG (Gateways επιπέδου εφαρμογής) σε μεταφραστές διευθύνσεων ή τείχη προστασίας, η οποία χρησιμοποιείται για την οργάνωση της προώθησης NAT πρωτοκόλλων που χρησιμοποιούν πολλές θύρες δικτύου (μία για δεδομένα και μία για έλεγχο), όπως SIP. H323, IRC DCC και FTP.
Η επίθεση ισχύει για χρήστες που συνδέονται στο δίκτυο χρησιμοποιώντας εσωτερικές διευθύνσεις από το εύρος intranet (192.168.xx, 10.xxx) και επιτρέπει την αποστολή δεδομένων σε οποιαδήποτε θύρα (χωρίς κεφαλίδες HTTP).
Για να πραγματοποιήσετε μια επίθεση, αρκεί για το θύμα να εκτελέσει τον κώδικα JavaScript που ετοίμασε ο εισβολέαςΓια παράδειγμα, ανοίγοντας μια σελίδα στον ιστότοπο του εισβολέα ή προβάλλοντας μια κακόβουλη διαφήμιση σε έναν νόμιμο ιστότοπο.
Σε πρώτο στάδιο, ο εισβολέας λαμβάνει πληροφορίες σχετικά με την εσωτερική διεύθυνση του χρήστη, Αυτό μπορεί να προσδιοριστεί από το WebRTC ή, εάν το WebRTC είναι απενεργοποιημένο, από βίαιες επιθέσεις με μέτρηση χρόνου απόκρισης όταν ζητάτε μια κρυφή εικόνα (για υπάρχοντες κεντρικούς υπολογιστές, μια προσπάθεια να ζητήσετε μια εικόνα είναι ταχύτερη από ό, τι για ανύπαρκτα λόγω χρονικού ορίου πριν από την επιστροφή ενός TCP Απόκριση RST).
Στο δεύτερο στάδιο, ο κώδικας JavaScript εκτελέστηκε στο πρόγραμμα περιήγησης του θύματος δημιουργεί ένα μεγάλο αίτημα HTTP POST (που δεν χωράει σε ένα πακέτο) στον διακομιστή του εισβολέα χρησιμοποιώντας έναν μη τυπικό αριθμό θύρας δικτύου για να ξεκινήσει συντονισμός των παραμέτρων κατακερματισμού TCP και του μεγέθους MTU στη στοίβα TCP του θύματος.
Σε απάντηση, ο διακομιστής του εισβολέα επιστρέφει ένα πακέτο TCP με την επιλογή MSS (Μέγιστο μέγεθος τμήματος), το οποίο καθορίζει το μέγιστο μέγεθος του λαμβανόμενου πακέτου. Στην περίπτωση του UDP, ο χειρισμός είναι παρόμοιος, αλλά βασίζεται στην αποστολή ενός μεγάλου αιτήματος WebRTC TURN για ενεργοποίηση κατακερματισμού σε επίπεδο IP.
«Το NAT Slipstreaming εκμεταλλεύεται το πρόγραμμα περιήγησης του χρήστη σε συνδυασμό με το μηχανισμό παρακολούθησης σύνδεσης Application Level Gateway (ALG) ενσωματωμένο σε NAT, δρομολογητές και τείχη προστασίας μέσω της αλυσίδας εσωτερικής εξαγωγής IP μέσω χρονικής επίθεσης ή WebRTC, ανακαλύψεις κατακερματισμού αυτόματων απομακρυσμένων IP και MTU, TCP μασάζ μεγέθους πακέτων, κατάχρηση ελέγχου ταυτότητας TURN, ακριβής έλεγχος των ορίων πακέτων και σύγχυση πρωτοκόλλου από κατάχρηση προγράμματος περιήγησης ", δήλωσε ο Kamkar σε ανάλυση.
Η κύρια ιδέα είναι ότι, γνωρίζοντας τις παραμέτρους κατακερματισμού, μπορεί Στείλτε ένα μεγάλο αίτημα HTTP, η ουρά του οποίου θα πέσει στο δεύτερο πακέτο. Ταυτόχρονα, επιλέγεται η ουρά που μπαίνει στο δεύτερο πακέτο, έτσι ώστε να μην περιέχει κεφαλίδες HTTP και να περικόπτεται σε δεδομένα που αντιστοιχούν πλήρως σε άλλο πρωτόκολλο για το οποίο υποστηρίζεται η διέλευση NAT.
Στο τρίτο στάδιο, χρησιμοποιώντας τον παραπάνω χειρισμό, ο κώδικας JavaScript δημιουργεί και στέλνει ένα ειδικά επιλεγμένο αίτημα HTTP (ή TURN για UDP) στη θύρα TCP 5060 του διακομιστή του εισβολέα, η οποία, μετά τον κατακερματισμό, θα χωριστεί σε δύο πακέτα: πακέτο με κεφαλίδες HTTP και μέρος των δεδομένων και ένα έγκυρο πακέτο SIP με την εσωτερική IP του θύματος.
Το σύστημα παρακολούθησης συνδέσεων στη στοίβα δικτύου θα θεωρήσει αυτό το πακέτο ως την αρχή μιας περιόδου λειτουργίας SIP και θα επιτρέψει την προώθηση πακέτων για οποιαδήποτε θύρα επιλεγεί από τον εισβολέα, υποθέτοντας ότι αυτή η θύρα χρησιμοποιείται για μετάδοση δεδομένων.
Η επίθεση μπορεί να πραγματοποιηθεί ανεξάρτητα από το πρόγραμμα περιήγησης που χρησιμοποιείται. Για την επίλυση του προβλήματος, οι προγραμματιστές του Mozilla πρότειναν τον αποκλεισμό της δυνατότητας αποστολής αιτημάτων HTTP σε θύρες δικτύου 5060 και 5061 που σχετίζονται με το πρωτόκολλο SIP.
Οι προγραμματιστές των κινητήρων Chromium, Blink και WebKit σχεδιάζουν επίσης να εφαρμόσουν ένα παρόμοιο μέτρο προστασίας.
πηγή: https://samy.pl