Samy kamkar (isang bantog na mananaliksik sa seguridad na kilala sa paglikha ng iba't ibang mga sopistikadong aparato sa pag-atake, tulad ng isang keylogger sa isang USB phone charger) ay nagpakilala ng isang bagong diskarte sa pag-atake na tinatawag na "NAT slipstreaming".
Ang pag-atake Pinapayagan, kapag binubuksan ang isang pahina sa isang browser, upang magtaguyod ng isang koneksyon mula sa server ng umaatake sa anumang UDP o TCP port sa system ng gumagamit na matatagpuan sa likod ng tagasalin ng address. Ang Attack Toolkit ay nai-publish sa GitHub.
Ang pamamaraan umaasa sa lokohin ang mekanismo ng pagsubaybay sa koneksyon ng ALG (Application Level Gateways) sa mga tagasalin ng address o firewall, na ginagamit upang ayusin ang pagpapasa ng NAT ng mga protokol na gumagamit ng maraming mga port ng network (isa para sa data at isa para sa kontrol), tulad ng SIP. H323, IRC DCC at FTP.
Nalalapat ang pag-atake sa mga gumagamit na kumonekta sa network gamit ang panloob na mga address mula sa saklaw ng intranet (192.168.xx, 10.xxx) at pinapayagan ang anumang data na maipadala sa anumang port (walang mga header ng HTTP).
Upang magsagawa ng isang atake, sapat na para sa biktima na magpatupad ng JavaScript code na inihanda ng umaatakeHalimbawa, sa pamamagitan ng pagbubukas ng isang pahina sa website ng umaatake o pagtingin sa isang nakakahamak na ad sa isang lehitimong website.
Sa isang unang yugto, kumukuha ang inatake ng impormasyon tungkol sa panloob na address ng gumagamit, Maaari itong matukoy ng WebRTC o, kung ang WebRTC ay hindi pinagana, sa pamamagitan ng mabangis na pag-atake na may pagsukat ng oras ng pagtugon kapag humihiling ng isang nakatagong imahe (para sa mga mayroon nang host, ang isang pagtatangka na humiling ng isang imahe ay mas mabilis kaysa sa mga wala dahil sa pag-timeout bago bumalik. isang tugon sa TCP RST).
Sa pangalawang yugto, ang JavaScript code pinaandar sa browser ng biktima bumubuo ng isang malaking kahilingan sa HTTP POST (na hindi umaangkop sa isang packet) sa server ng umaatake gamit ang isang hindi pamantayang numero ng port ng network upang simulan ang pag-tune ng mga parameter ng fragmentation ng TCP at laki ng MTU sa TCP stack ng biktima.
Bilang tugon, ang server ng umaatake ay nagbabalik ng isang TCP packet na may pagpipiliang MSS (Maximum na laki ng segment), na tumutukoy sa maximum na laki ng natanggap na packet. Sa kaso ng UDP, ang pagmamanipula ay magkatulad, ngunit umaasa sa pagpapadala ng isang malaking kahilingan sa WebRTC TURN upang ma-trigger ang fragmentation sa antas ng IP.
«Sinasamantala ng NAT Slipstreaming ang browser ng gumagamit kasabay ng mekanismo ng pagsubaybay sa koneksyon sa Application Level Gateway (ALG) na itinayo sa NAT, mga router, at firewall sa pamamagitan ng pag-chain ng panloob na pagkuha ng IP sa pamamagitan ng isang atake sa oras o WebRTC, pagtuklas ng pagkakawatak-watak ng awtomatikong remote na IP at MTU, TCP laki ng packet na masahe, maling paggamit ng pagpapatotoo ng TURN, tumpak na kontrol ng mga limitasyon ng packet at pagkalito ng proteksyon mula sa pag-abuso sa browser, "sabi ni Kamkar sa isang pagsusuri.
Ang pangunahing ideya ay na, alam ang mga parameter ng pagkakawatak-watak, maaari magpadala ng isang malaking kahilingan sa HTTP, ang pila na kung saan ay mahuhulog sa pangalawang packet. Sa parehong oras, ang pila na pumapasok sa pangalawang packet ay napili upang hindi ito maglaman ng mga HTTP header at napuputol sa data na ganap na tumutugma sa isa pang proteksyon kung saan sinusuportahan ang NAT traversal.
Sa ikatlong yugto, gamit ang pagmamanipula sa itaas, bumubuo ang JavaScript code at nagpapadala ng isang espesyal na napiling kahilingan sa HTTP (o TURN para sa UDP) sa port ng TCP 5060 ng server ng umaatake, na, pagkatapos ng pagkakawatak-watak, ay hahatiin sa dalawang mga packet: a packet na may mga HTTP header at bahagi ng data at isang wastong SIP packet na may panloob na IP ng biktima.
Ang system para sa pagsubaybay sa mga koneksyon sa stack ng network isasaalang-alang ang packet na ito upang maging simula ng isang sesyon ng SIP at papayagan nito ang pagpapasa ng packet para sa anumang port na napili ng umaatake, sa pag-aakalang ang port na ito ay ginagamit para sa paghahatid ng data.
Maaaring isagawa ang pag-atake anuman ang ginamit na browser. Upang malutas ang problema, iminungkahi ng mga developer ng Mozilla na harangan ang kakayahang magpadala ng mga kahilingan sa HTTP sa mga port ng network na 5060 at 5061 na nauugnay sa SIP protocol.
Plano din ng mga nag-develop ng engine ng Chromium, Blink at WebKit na magpatupad ng katulad na hakbang sa proteksyon.
Fuente: https://samy.pl