סמי קמקר (חוקר אבטחה מפורסם הידוע ביצירת מכשירי התקפה מתוחכמים שונים כגון מפתח מפתח על מטען טלפון לטלפון USB) הציגה טכניקת התקפה חדשה שנקראה "NAT slipstreaming".
ההתקפה מאפשר, בעת פתיחת דף בדפדפן, ליצור חיבור משרת התוקף לכל יציאת UDP או TCP במערכת המשתמש הממוקמת מאחורי מתרגם הכתובות. ערכת הכלים להתקפה מתפרסמת ב- GitHub.
השיטה מסתמך על הונאת מנגנון מעקב חיבורי ALG (שערים ברמת היישום) במתרגמי כתובות או חומות אש, המשמשות לארגון העברת NAT של פרוטוקולים המשתמשים במספר יציאות רשת (אחד לנתונים ואחד לבקרה), כגון SIP. H323, IRC DCC ו- FTP.
ההתקפה חלה על משתמשים שמתחברים לרשת שימוש בכתובות פנימיות מתחום האינטרא-נט (192.168.xx, 10.xxx) ומאפשר לשלוח כל נתונים ליציאה כלשהי (ללא כותרות HTTP).
כדי לבצע פיגוע, זה מספיק עבור הקורבן לבצע את קוד JavaScript שהוכן על ידי התוקףלדוגמא, באמצעות פתיחת דף באתר התוקף או צפייה בפרסומת זדונית באתר לגיטימי.
בשלב ראשון, התוקף משיג מידע על הכתובת הפנימית של המשתמש, ניתן לקבוע זאת על ידי WebRTC או, אם WebRTC מושבת, על ידי התקפות כוח אכזרי עם מדידת זמן תגובה כאשר מבקשים תמונה מוסתרת (עבור מארחים קיימים, ניסיון לבקש תמונה מהיר יותר מאשר עבור תמונות שאינן קיימות בשל פסק זמן לפני החזרת תגובת TCP RST).
בשלב השני, קוד ה- JavaScript מבוצע בדפדפן הקורבן מייצר בקשת HTTP POST גדולה (שאינו מתאים בחבילה) לשרת התוקף באמצעות מספר יציאת רשת לא סטנדרטי כדי להתחיל כוונון של פרמטרי הפיצול של TCP וגודל MTU על ערימת ה- TCP של הקורבן.
בתגובה, שרת התוקף מחזיר חבילת TCP עם אפשרות MSS (גודל קטע מקסימלי), הקובע את הגודל המרבי של החבילה שהתקבלה. במקרה של UDP, המניפולציה דומה, אך נשענת על שליחת בקשת WebRTC TURN גדולה להפעלת פיצול ברמת ה- IP.
«NAT Slipstreaming מנצל את הדפדפן של המשתמש בשילוב עם מנגנון המעקב אחר חיבורי Application Level Gateway (ALG) המובנה בתוך NAT, נתבים וחומות אש על ידי שרשור מיצוי IP פנימי באמצעות התקפת זמן או WebRTC, גילוי פיצול של IP ו- MTU מרוחקים אוטומטית, עיסוי גודל מנות TCP, שימוש לרעה באימות TURN, שליטה מדויקת במגבלות המנות ובלבול פרוטוקולים מפני שימוש לרעה בדפדפנים ", אמר קמקר בניתוח.
הרעיון המרכזי הוא ש, בידיעת פרמטרי הפיצול, יכול שלח בקשת HTTP גדולה שהתור שלה ייפול על החבילה השנייה. יחד עם זאת, התור שנכנס לחבילה השנייה נבחר כך שהוא לא מכיל כותרות HTTP ונחתך על נתונים התואמים לחלוטין לפרוטוקול אחר שעבורו נתמך חציית NAT.
בשלב השלישי, באמצעות המניפולציה שלעיל, קוד ה- JavaScript יוצר ושולח בקשת HTTP שנבחרה במיוחד (או TURN עבור UDP) ליציאת TCP 5060 של שרת התוקף, אשר לאחר פיצול, תחולק לשתי חבילות: חבילה עם כותרות HTTP וחלק מהנתונים וחבילת SIP תקפה עם ה- IP הפנימי של הקורבן.
המערכת למעקב אחר חיבורים בערמת הרשת ייחשב לחבילה זו כתחילתו של מושב SIP והיא תאפשר העברת מנות לכל יציאה שנבחרה על ידי התוקף, בהנחה שיציאה זו משמשת להעברת נתונים.
ההתקפה יכולה להתבצע ללא קשר לדפדפן בו נעשה שימוש. כדי לפתור את הבעיה הציעו מפתחי מוזילה לחסום את היכולת לשלוח בקשות HTTP ליציאות רשת 5060 ו- 5061 הקשורות לפרוטוקול SIP.
מפתחי מנועי Chromium, Blink ו- WebKit מתכננים גם ליישם אמצעי הגנה דומה.
מקור: https://samy.pl