Novo navrhnutý variant útoku NAT Slipstreaming možno využiť na kompromitáciu a odhalenie akéhokoľvek zariadenia vo vnútornej sieti, podľa najnovšieho výskumu.
Nový útok (CVE-2020-16043 a CVE-2021-23961) podrobne opísala podniková IoT bezpečnostná firma Armis a stavia na predtým zverejnenej technike obídenia smerovačov a firewallov a zasiahnutia akéhokoľvek nespravovaného zariadenia v rámci internej siete z internetu.
Prvýkrát odhalený bezpečnostným výskumníkom Samym Kamkarom koncom októbra 2020, útok založený na JavaScripte sa spoliehal na nalákanie používateľa na návštevu škodlivej webovej stránky s cieľom obísť obmedzenia portov prehliadača a umožniť útočníkovi vzdialený prístup k službám TCP/UDP na zariadení obete, aj tie, ktoré boli chránené firewallom alebo NAT.
Hoci čiastočné zmiernenia boli vydané 11. novembra s cieľom zmariť útok v prehliadačoch Chrome 87, Firefox 84 a Safari tým, že zabránili pripojeniam na porte 5060 alebo 5061, výskumníci spoločnosti Armis Ben Seri a Gregory Vishnipolsky odhalili, že „NAT Slipstreaming 2.0″vystavuje “vstavané, nespravované zariadenia väčšiemu riziku, pretože umožňuje útočníkom vystaviť zariadenia umiestnené v interných sieťach priamo internetu.”
Medzi zraniteľné zariadenia, ktoré by mohli byť potenciálne odhalené v dôsledku tohto útoku, patria kancelárske tlačiarne, priemyselné ovládače, IP kamery a iné neoverené rozhrania, ktoré by mohli byť zneužité, keď sa NAT/firewall oklame a otvorí sieťovú prevádzku pre zariadenie obete.
„Používanie nového variantu útoku NAT Slipstreaming na prístup k týmto typom rozhraní z internetu môže viesť k útokom, ktoré siahajú od obťažovania až po sofistikovanú hrozbu ransomvéru,“ uviedli vedci.
Google, Apple, Mozilla a Microsoft vydali všetky opravy pre Chrome (v87.0.4280.141), Safari (v14.0.3), Firefox (v85.0) a Edge (v87.0.664.75) prehliadačov na riešenie nového útoku.
Používanie paketov H.323 na uľahčenie NAT Slipstreaming
Zjednodušene povedané, NAT Slipstreaming umožňuje zlému hercovi obísť NAT/firewall a na diaľku pristupovať ku ktorejkoľvek službe TCP/UDP naviazanej na počítač obete v dôsledku toho, že cieľ navštívi webovú stránku infikovanú škodlivým softvérom špeciálne vytvorenú na tento účel.
Najmä škodlivý kód JavaScript spustený v prehliadači obete extrahuje internú IP adresu a využije segmentáciu paketov TCP/IP na vytvorenie veľkých signálov TCP/UDP a následne prepašovanie paketu Session Initiation Protocol (SIP) obsahujúceho internú IP adresu do odchádzajúca požiadavka HTTP POST cez port TCP 5060.
„To sa dosiahne starostlivým nastavením [Maximum Segment Size] hodnotu TCP spojenia kontrolovaného útočníkom z prehliadača obete na server útočníka, takže segment TCP v „strede“ HTTP požiadavky bude úplne kontrolovaný útočníkom,“ vysvetlili vedci.
V dôsledku toho to spôsobí, že brána NAT na aplikačnej úrovni (ALG) otvorí ľubovoľné porty pre prichádzajúce pripojenia k zariadeniu klienta cez internú IP adresu.
NAT Slipstreaming 2.0 je podobný vyššie uvedenému útoku v tom, že používa rovnaký prístup, ale spolieha sa na H.323 VoIP protokol namiesto SIP na odosielanie viacerých požiadaviek na načítanie na server útočníka na porte H.323 (1720), čím umožňuje útočníkovi iterovať cez rozsah IP adries a portov a otvorenie každého z nich na internet.
„Dlhotrvajúce riešenie by si, žiaľ, nejaké vyžadovalo [overhaul] internetovej infraštruktúry, na ktorú sme zvyknutí,“ uzavreli vedci.
“Je dôležité pochopiť, že bezpečnosť nebola hlavnou agendou pri vytváraní NAT, ale bola hlavne vedľajším produktom potenciálneho vyčerpania IPv4 adries. Požiadavky na staré adresy, ako sú ALG, sú stále dominantnou témou pri navrhovaní NAT. dnes a sú hlavným dôvodom, prečo sa obchádzanie útokov objavuje znova a znova.“
