Samy kamkar (słynny badacz bezpieczeństwa znany z tworzenia różnych wyrafinowanych urządzeń atakujących, takich jak keylogger na ładowarce USB do telefonu) wprowadził nową technikę ataku o nazwie „NAT slipstreaming”.
Atak umożliwia, otwierając stronę w przeglądarce, nawiązanie połączenia z serwerem atakującego do dowolnego portu UDP lub TCP w systemie użytkownika znajdującego się za translatorem adresów. Attack Toolkit jest opublikowany w serwisie GitHub.
Metoda polega na oszukiwaniu mechanizmu śledzenia połączeń ALG (Bramy na poziomie aplikacji) w translatorach adresów lub zaporach, które są używane do organizowania przekazywania NAT protokołów, które używają wielu portów sieciowych (jednego do danych i jednego do sterowania), takich jak SIP. H323, IRC DCC i FTP.
Atak dotyczy użytkowników łączących się z siecią wykorzystując adresy wewnętrzne z zakresu intranetu (192.168.xx, 10.xxx) i umożliwia wysyłanie dowolnych danych na dowolny port (bez nagłówków HTTP).
Aby przeprowadzić atak, wystarczy, że ofiara wykona kod JavaScript przygotowany przez atakującegoNa przykład, otwierając stronę w witrynie atakującego lub wyświetlając złośliwą reklamę w legalnej witrynie.
W pierwszym etapie atakujący uzyskuje informacje o wewnętrznym adresie użytkownika, Można to określić za pomocą WebRTC lub, jeśli WebRTC jest wyłączony, przez ataki siłowe z pomiarem czasu odpowiedzi podczas żądania ukrytego obrazu (w przypadku istniejących hostów próba żądania obrazu jest szybsza niż w przypadku nieistniejących ze względu na limit czasu przed zwróceniem odpowiedzi TCP RST).
W drugim etapie kod JavaScript wykonywane w przeglądarce ofiary generuje duże żądanie HTTP POST (który nie mieści się w pakiecie) do serwera atakującego przy użyciu niestandardowego numeru portu sieciowego w celu zainicjowania dostrajania parametrów fragmentacji TCP i rozmiaru MTU na stosie TCP ofiary.
W odpowiedzi serwer atakującego zwraca pakiet TCP z opcją MSS (Maksymalny rozmiar segmentu), który określa maksymalny rozmiar odebranego pakietu. W przypadku UDP manipulacja jest podobna, ale polega na wysłaniu dużego żądania WebRTC TURN w celu wyzwolenia fragmentacji na poziomie IP.
«NAT Slipstreaming wykorzystuje przeglądarkę użytkownika w połączeniu z mechanizmem śledzenia połączeń Application Level Gateway (ALG) wbudowanym w NAT, routery i zapory ogniowe, łącząc w łańcuch wyodrębnianie wewnętrznego adresu IP poprzez atak czasowy lub WebRTC, wykrywanie fragmentacji zautomatyzowanego zdalnego IP i MTU, masowania rozmiaru pakietów TCP, nadużywania uwierzytelniania TURN, precyzyjnej kontroli limitów pakietów i pomieszania protokołów z powodu nadużyć przeglądarki - powiedział Kamkar w analizie.
Głównym pomysłem jest że znając parametry fragmentacji, kan wyślij duże żądanie HTTP, którego kolejka przypadnie na drugi pakiet. Jednocześnie kolejka, która trafia do drugiego pakietu, jest wybierana tak, aby nie zawierała nagłówków HTTP i była odcinana na danych, które całkowicie odpowiadają innemu protokołowi, dla którego obsługiwane jest przechodzenie NAT.
W trzecim etapie, korzystając z powyższej manipulacji, kod JavaScript generuje i wysyła specjalnie wybrane żądanie HTTP (lub TURN dla UDP) na port TCP 5060 serwera atakującego, które po fragmentacji zostaną podzielone na dwa pakiety: a pakiet z nagłówkami HTTP i częścią danych oraz ważny pakiet SIP z wewnętrznym adresem IP ofiary.
System śledzenia połączeń na stosie sieciowym uzna ten pakiet za początek sesji SIP i pozwoli na przekazywanie pakietów do dowolnego portu wybranego przez atakującego, przy założeniu, że ten port jest używany do transmisji danych.
Atak może zostać przeprowadzony niezależnie od używanej przeglądarki. Aby rozwiązać problem, programiści Mozilli zasugerowali zablokowanie możliwości wysyłania żądań HTTP do portów sieciowych 5060 i 5061 związanych z protokołem SIP.
Twórcy silników Chromium, Blink i WebKit również zamierzają wdrożyć podobny środek ochrony.
źródło: https://samy.pl