Samy kamkar (slávny bezpečnostný výskumník známy vytváraním rôznych sofistikovaných útočných zariadení, napríklad keyloggera na nabíjačke USB telefónu) predstavil novú útočnú techniku nazvanú „NAT slipstreaming“.
Útok umožňuje pri otvorení stránky v prehľadávači nadviazať spojenie zo servera útočníka na ľubovoľný port UDP alebo TCP v systéme používateľa umiestnený za prekladačom adries. Sada nástrojov Attack Toolkit je zverejnená na GitHub.
Metóda sa spolieha na oklamanie mechanizmu sledovania spojenia ALG (Brány aplikačnej úrovne) v prekladačoch adries alebo bránach firewall, ktorá sa používa na organizáciu presmerovania NAT protokolov, ktoré používajú viac sieťových portov (jeden pre dáta a jeden pre kontrolu), napríklad SIP. H323, IRC DCC a FTP.
Útok je použiteľný pre používateľov, ktorí sa pripájajú k sieti pomocou interných adries z rozsahu intranetu (192.168.xx, 10.xxx) a umožňuje zasielanie akýchkoľvek údajov na akýkoľvek port (bez hlavičiek HTTP).
Vykonať útok, postačuje, aby obeť vykonala kód JavaScript pripravený útočníkomNapríklad otvorením stránky na webe útočníka alebo prezeraním škodlivej reklamy na legitímnom webe.
V prvej fáze útočník získa informácie o internej adrese používateľa, Môže to určiť WebRTC, alebo ak je WebRTC vypnuté, útoky hrubou silou s meraním času odozvy pri vyžiadaní skrytého obrázka (pre existujúcich hostiteľov je pokus o vyžiadanie obrázka rýchlejší ako pre neexistujúcich kvôli časový limit pred vrátením odpovede TCP RST).
V druhej fáze kód JavaScript vykonané v prehliadači obete generuje veľkú požiadavku HTTP POST (ktorý sa nezmestí do paketu) na server útočníka pomocou neštandardného čísla sieťového portu na zahájenie ladenia parametrov fragmentácie TCP a veľkosti MTU na zásobníku TCP obete.
V odozve, server útočníka vráti paket TCP s voľbou MSS (Maximálna veľkosť segmentu), ktorá určuje maximálnu veľkosť prijatého paketu. V prípade UDP je manipulácia podobná, ale spolieha sa na odoslanie veľkej požiadavky WebRTC TURN na spustenie fragmentácie na úrovni IP.
«NAT Slipstreaming využíva prehliadač používateľa v spojení s mechanizmom sledovania spojenia Application Level Gateway (ALG) zabudovaným do NAT, routerov a firewallov reťazením internej extrakcie IP prostredníctvom časového útoku alebo WebRTC, zisťovania fragmentácie automatizovaného vzdialeného IP a MTU, masáže veľkosti paketov TCP, zneužitia autentifikácie TURN, presnej kontroly limitov paketov a zámeny protokolov zo zneužitia prehliadača, “uviedol v analýze Kamkar.
Hlavná myšlienka je že, keďže pozná parametre fragmentácie, môže poslať veľkú požiadavku HTTP, ktorej fronta spadne na druhý paket. Zároveň sa vyberie front, ktorý vstupuje do druhého paketu, aby neobsahoval hlavičky HTTP a strihal sa na údaje, ktoré úplne zodpovedajú inému protokolu, pre ktorý je podporovaný prechod NAT.
V tretej etape pomocou vyššie uvedenej manipulácie kód JavaScript vygeneruje a odošle špeciálne vybranú požiadavku HTTP (alebo TURN pre UDP) na port TCP 5060 servera útočníka, ktorý sa po fragmentácii rozdelí na dva pakety: a paket s hlavičkami HTTP a časťou údajov a platný paket SIP s internou IP obete.
Systém na sledovanie pripojení na sieťovom zásobníku bude tento paket považovať za začiatok relácie SIP a umožní to posielanie paketov na akýkoľvek port vybraný útočníkom za predpokladu, že sa tento port použije na prenos dát.
Útok je možné vykonať bez ohľadu na použitý prehliadač. Na vyriešenie problému vývojári Mozilly navrhli blokovanie možnosti odosielať požiadavky HTTP na sieťové porty 5060 a 5061 spojené s protokolom SIP.
Podobné ochranné opatrenie majú v úmysle implementovať aj vývojári motorov Chromium, Blink a WebKit.
Fuente: https://samy.pl