最新研究表明,可以利用新设计的NAT滑流攻击变种来破坏和暴露内部网络中的任何设备。
由企业物联网安全公司Armis详细介绍的新攻击(CVE-2020-16043和CVE-2021-23961)建立在先前公开的技术之上,可绕过路由器和防火墙并从Internet到达内部网络中的任何不受管理的设备。
安全研究人员Samy Kamkar于2020年10月首次首次披露了这种基于JavaScript的攻击,它旨在诱使用户访问恶意网站以规避基于浏览器的端口限制,并允许攻击者远程访问受害者设备上的TCP / UDP服务,即使是那些受到防火墙或NAT保护的产品。
尽管11月11日发布了部分缓解措施,以通过阻止端口5060或5061阻止连接来阻止Chrome 87,Firefox 84和Safari的攻击,但Armis研究人员Ben Seri和Gregory Vishnipolsky透露,“ NAT Slipstreaming 2.0”将“嵌入式,不受管理,允许攻击者将内部网络上的设备直接暴露给Internet,从而使设备面临更大的风险。”
一旦受到NAT /防火墙的欺骗,可以向受害设备开放网络通信,则可能由于此攻击而暴露的脆弱设备包括办公室打印机,工业控制器,IP摄像机和其他未经身份验证的接口。
研究人员说:“使用NAT Slipstreaming攻击的新变种从Internet访问这些类型的接口,可能导致攻击范围从讨厌的东西到复杂的勒索软件威胁。”
Google,Apple,Mozilla和Microsoft已经发布了Chrome(v87.0.4280.141),Safari(v14.0.3),Firefox(v85.0)和Edge(v87.0.664.75)浏览器的修补程序,以解决新问题。
使用H.323数据包促进NAT滑流
简而言之,由于目标访问了专门为此目的而设计的恶意软件感染网站,因此NAT Slipstreaming允许不良行为者绕过NAT /防火墙并远程访问绑定到受害者计算机的任何TCP / UDP服务。
特别是,在受害者浏览器上运行的恶意JavaScript代码会提取内部IP地址,并利用TCP / IP数据包分段功能创建大型TCP / UDP信标,然后将包含内部IP地址的会话发起协议(SIP)数据包走私到内部。通过TCP端口5060的出站HTTP POST请求。
“这是通过仔细设置从受害浏览器到攻击者服务器的由攻击者控制的TCP连接的[Maximum Segment Size]值来实现的,以便HTTP请求“中间”的TCP片段将完全由攻击者控制”,研究人员解释说。
结果,这导致NAT应用程序级别网关(ALG)打开任意端口,以通过内部IP地址与客户端设备进行入站连接。
NAT Slipstreaming 2.0与上述攻击类似,因为它使用相同的方法,但依赖于H.323 VoIP协议而不是SIP在H.323端口(1720)上向攻击者的服务器发送多个获取请求,从而使攻击者能够遍历一系列IP地址和端口,并将它们中的每一个都打开到Internet。
研究人员总结说:“不幸的是,一个持久的解决方案将需要对我们习惯的互联网基础设施进行一些大修。”
“重要的是要了解,安全性不是创建NAT的主要议程,它主要是IPv4地址可能耗尽的副产品。诸如ALG之类的传统要求仍然是NAT设计中的主要主题。今天,这是一次又一次发现绕过攻击的主要原因。”
*编译:Domino
*来自:thehackernews
文章评论