Samy kamkar (en berömd säkerhetsforskare känd för att skapa olika sofistikerade attackenheter, till exempel en keylogger på en USB-telefonladdare) har infört en ny attackteknik som heter "NAT slipstreaming".
Attacken tillåter, när en sida öppnas i en webbläsare, att upprätta en anslutning från angriparens server till valfri UDP- eller TCP-port på användarens system som ligger bakom adressöversättaren. Attack Toolkit publiceras på GitHub.
Metoden förlitar sig på att lura ALG-anslutningsspårningsmekanismen (Application Level Gateways) i adressöversättare eller brandväggar, som används för att organisera NAT-vidarebefordran av protokoll som använder flera nätverksportar (en för data och en för kontroll), såsom SIP. H323, IRC DCC och FTP.
Attacken gäller för användare som ansluter till nätverket använder interna adresser från intranätområdet (192.168.xx, 10.xxx) och tillåter att data skickas till valfri port (inga HTTP-rubriker).
För att utföra en attack, det räcker för offret att köra JavaScript-koden som utarbetats av angriparenTill exempel genom att öppna en sida på angriparens webbplats eller visa en skadlig annons på en legitim webbplats.
I ett första steg, angriparen får information om användarens interna adress, Detta kan bestämmas av WebRTC eller, om WebRTC är inaktiverat, genom brute force-attacker med svarstidsmätning när man begär en dold bild (för befintliga värdar är ett försök att begära en bild snabbare än för obefintliga på grund av timeout innan du returnerar ett TCP RST-svar).
I det andra steget, JavaScript-koden utförs i offrets webbläsare genererar en stor HTTP POST-begäran (som inte passar i ett paket) till angriparens server med ett icke-standardiserat nätverksportnummer för att initiera inställning av TCP-fragmenteringsparametrar och MTU-storlek på offrets TCP-stack.
Som svar, angriparens server returnerar ett TCP-paket med MSS-alternativet (Maximal segmentstorlek), som bestämmer den maximala storleken på det mottagna paketet. I fallet med UDP är manipuleringen liknande, men förlitar sig på att skicka en stor WebRTC TURN-begäran för att utlösa fragmentering på IP-nivå.
«NAT Slipstreaming utnyttjar användarens webbläsare i kombination med Application Level Gateway (ALG) anslutningsspårningsmekanism inbyggd i NAT, routrar och brandväggar genom att kedja intern IP-extraktion genom en tidsangrepp eller WebRTC, fragmenteringsupptäckt av automatiserad fjärr-IP och MTU, TCP-paketstorleksmassage, missbruk av TURN-autentisering, exakt kontroll av paketgränser och protokollförvirring från webbläsarmissbruk, "sade Kamkar i en analys.
Huvudidén är det, med kännedom om fragmenteringsparametrarna, kan skicka en stor HTTP-begäran vars kön faller på det andra paketet. Samtidigt väljs kön som går in i det andra paketet så att det inte innehåller HTTP-rubriker och klipps ut på data som helt motsvarar ett annat protokoll för vilket NAT-traversal stöds.
I det tredje steget genererar och skickar JavaScript-koden med ovanstående manipulation en speciellt vald HTTP-begäran (eller TURN för UDP) till TCP-port 5060 på angriparens server, som efter fragmentering kommer att delas upp i två paket: paket med HTTP-rubriker och en del av data och ett giltigt SIP-paket med den interna IP: n för offret.
Systemet för spårning av anslutningar på nätverksstacken kommer att betrakta detta paket som början på en SIP-session och det möjliggör vidarebefordran av paket för alla portar som valts av angriparen, förutsatt att den här porten används för dataöverföring.
Attacken kan utföras oavsett vilken webbläsare som används. För att lösa problemet föreslog Mozilla-utvecklare att blockera möjligheten att skicka HTTP-förfrågningar till nätverksportarna 5060 och 5061 associerade med SIP-protokollet.
Utvecklarna av Chromium, Blink och WebKit-motorerna avser också att genomföra en liknande skyddsåtgärd.
Fuente: https://samy.pl