Сами Камкар (известный исследователь безопасности, известный созданием различных сложных устройств для атак, таких как кейлоггер на зарядном устройстве для телефона USB) представил новую технику атаки под названием «NAT slipstreaming».
Атака позволяет при открытии страницы в браузере установить соединение с сервером злоумышленника на любой порт UDP или TCP в системе пользователя, расположенный за транслятором адресов. Набор инструментов для атаки опубликован на GitHub.
Метод полагается на обман механизма отслеживания соединений ALG (Шлюзы уровня приложения) в трансляторах адресов или межсетевых экранах, которые используются для организации переадресации NAT протоколов, использующих несколько сетевых портов (один для данных, а другой для управления), например SIP. H323, IRC DCC и FTP.
Атака применима к пользователям, которые подключаются к сети. с использованием внутренних адресов из диапазона интрасети (192.168.xx, 10.xxx) и позволяет отправлять любые данные на любой порт (без заголовков HTTP).
Чтобы осуществить атаку, жертве достаточно выполнить подготовленный злоумышленником код JavaScriptНапример, открыв страницу на сайте злоумышленника или просмотрев вредоносную рекламу на легитимном сайте.
На первом этапе злоумышленник получает информацию о внутреннем адресе пользователя, Это может быть определено с помощью WebRTC или, если WebRTC отключен, атак методом грубой силы с измерением времени отклика при запросе скрытого изображения (для существующих хостов попытка запроса изображения происходит быстрее, чем для несуществующих из-за тайм-аут перед возвратом ответа TCP RST).
На втором этапе код JavaScript выполняется в браузере жертвы генерирует большой запрос HTTP POST (который не помещается в пакет) на сервер злоумышленника, используя нестандартный номер сетевого порта, чтобы инициировать настройку параметров фрагментации TCP и размера MTU в стеке TCP жертвы.
В ответ, сервер злоумышленника возвращает TCP-пакет с опцией MSS (Максимальный размер сегмента), который определяет максимальный размер полученного пакета. В случае UDP манипуляции аналогичны, но основаны на отправке большого запроса WebRTC TURN для запуска фрагментации на уровне IP.
«NAT Slipstreaming использует браузер пользователя в сочетании с механизмом отслеживания соединений Application Level Gateway (ALG), встроенным в NAT, маршрутизаторы и брандмауэры, связывая внутреннее извлечение IP через временную атаку или WebRTC, обнаружение фрагментации "Автоматизированный удаленный IP и MTU, изменение размера TCP-пакетов, неправильное использование аутентификации TURN, точный контроль ограничений пакетов и путаница в протоколах из-за злоупотреблений браузером", - сказал Камкар в анализе.
Основная идея что, зная параметры фрагментации, может отправить большой HTTP-запрос, очередь которого попадет на второй пакет. При этом очередь, которая идет во второй пакет, выбирается так, чтобы она не содержала заголовков HTTP и отсекалась от данных, полностью соответствующих другому протоколу, для которого поддерживается NAT-обход.
На третьем этапе, используя описанную выше манипуляцию, код JavaScript генерирует и отправляет специально выбранный HTTP-запрос (или TURN для UDP) на TCP-порт 5060 сервера злоумышленника, который после фрагментации будет разделен на два пакета: пакет с заголовками HTTP и частью данных и действующий пакет SIP с внутренним IP-адресом жертвы.
Система отслеживания подключений в сетевом стеке будет считать этот пакет началом сеанса SIP и он позволит пересылать пакеты для любого порта, выбранного злоумышленником, при условии, что этот порт используется для передачи данных.
Атака может быть проведена независимо от используемого браузера.. Для решения проблемы разработчики Mozilla предложили заблокировать возможность отправки HTTP-запросов на сетевые порты 5060 и 5061, связанные с протоколом SIP.
Разработчики движков Chromium, Blink и WebKit также планируют реализовать аналогичную меру защиты.
источник: https://samy.pl