Samy kamkar (seorang peneliti keamanan terkenal yang dikenal karena membuat berbagai perangkat serangan canggih, seperti keylogger pada pengisi daya telepon USB) telah memperkenalkan teknik serangan baru yang disebut "NAT slipstreaming".
Serangan itu memungkinkan, saat membuka halaman di browser, untuk membuat sambungan dari server penyerang ke port UDP atau TCP mana pun di sistem pengguna yang terletak di belakang penerjemah alamat. The Attack Toolkit diterbitkan di GitHub.
Metode mengandalkan menipu mekanisme pelacakan koneksi ALG (Application Level Gateways) di penerjemah alamat atau firewall, yang digunakan untuk mengatur penerusan NAT dari protokol yang menggunakan beberapa port jaringan (satu untuk data dan satu untuk kontrol), seperti SIP. H323, IRC DCC dan FTP.
Serangan tersebut berlaku untuk pengguna yang terhubung ke jaringan menggunakan alamat internal dari rentang intranet (192.168.xx, 10.xxx) dan memungkinkan data apa pun dikirim ke port mana pun (tanpa header HTTP).
Untuk melakukan serangan, itu cukup bagi korban untuk mengeksekusi kode JavaScript yang disiapkan oleh penyerangMisalnya, dengan membuka halaman di situs web penyerang atau melihat iklan berbahaya di situs web yang sah.
Pada tahap pertama, penyerang memperoleh informasi tentang alamat internal pengguna, Ini dapat ditentukan oleh WebRTC atau, jika WebRTC dinonaktifkan, dengan serangan brute force dengan pengukuran waktu respons saat meminta gambar tersembunyi (untuk host yang ada, upaya untuk meminta gambar lebih cepat daripada yang tidak ada karena batas waktu sebelum dikembalikan respons TCP RST).
Pada tahap kedua, kode JavaScript dijalankan di browser korban menghasilkan permintaan HTTP POST yang besar (yang tidak sesuai dengan paket) ke server penyerang menggunakan nomor port jaringan non-standar untuk memulai penyetelan parameter fragmentasi TCP dan ukuran MTU pada tumpukan TCP korban.
Sebagai tanggapan, server penyerang mengembalikan paket TCP dengan opsi MSS (Ukuran segmen maksimum), yang menentukan ukuran maksimum paket yang diterima. Dalam kasus UDP, manipulasinya serupa, tetapi bergantung pada pengiriman permintaan WebRTC TURN yang besar untuk memicu fragmentasi tingkat IP.
«NAT Slipstreaming mengeksploitasi browser pengguna dalam hubungannya dengan mekanisme pelacakan koneksi Application Level Gateway (ALG) yang dibangun ke dalam NAT, router, dan firewall dengan merangkai ekstraksi IP internal melalui serangan waktu atau WebRTC, penemuan fragmentasi IP jarak jauh otomatis dan MTU, TCP pemijatan ukuran paket, penyalahgunaan otentikasi TURN, kontrol yang tepat dari batas paket dan kebingungan protokol dari penyalahgunaan browser, "kata Kamkar dalam sebuah analisis.
Ide utamanya adalah bahwa, mengetahui parameter fragmentasi, bisa mengirim permintaan HTTP yang besar, antriannya akan berada di paket kedua. Pada saat yang sama, antrian yang masuk ke paket kedua dipilih sehingga tidak berisi header HTTP dan dipotong pada data yang sepenuhnya sesuai dengan protokol lain yang didukung NAT traversal.
Pada tahap ketiga, menggunakan manipulasi di atas, kode JavaScript menghasilkan dan mengirimkan permintaan HTTP yang dipilih secara khusus (atau TURN untuk UDP) ke port TCP 5060 dari server penyerang, yang, setelah fragmentasi, akan dipecah menjadi dua paket: a paket dengan header HTTP dan bagian dari data dan paket SIP yang valid dengan IP internal korban.
Sistem untuk melacak koneksi di tumpukan jaringan akan menganggap paket ini sebagai awal sesi SIP dan itu akan memungkinkan penerusan paket untuk setiap port yang dipilih oleh penyerang, dengan asumsi port ini digunakan untuk transmisi data.
Serangan tersebut dapat dilakukan terlepas dari browser yang digunakan. Untuk mengatasi masalah tersebut, pengembang Mozilla menyarankan pemblokiran kemampuan untuk mengirim permintaan HTTP ke port jaringan 5060 dan 5061 yang terkait dengan protokol SIP.
Pengembang mesin Chromium, Blink, dan WebKit juga bermaksud menerapkan tindakan perlindungan serupa.
sumber: https://samy.pl