Es va donar a conèixer una nova variant de l'atac NAT slipstreaming, Que permet establir una connexió de xarxa des del servidor de l'atacant a qualsevol port UDP o TCP de el sistema de l'usuari que va obrir la pàgina web preparada per l'atacant al navegador.
l'atac permet a l'atacant enviar qualsevol dada a qualsevol port d'usuari, independentment de l'ús de el rang d'adreces internes de la víctima en el sistema de la víctima, l'accés a la xarxa des de la qual es tanca directament i és possible només a través d'un traductor d'adreces.
El principi de funcionament de la nova variant de NAT slipstreaming attack (CVE-2021-23961, CVE-2020-16043) is idèntic a l'esquema original, les diferències es redueixen a l'ús d'altres protocols, que són processats per la ALG (Application Level Gateways).
A la primera variant de l'atac, per enganyar la ALG, es va utilitzar la manipulació de el protocol SIP, que utilitza diversos ports de xarxa (un per a dades i un altre per a control). La segona opció permet manipulacions similars amb el protocol VoIP H.323, que utilitza el port TCP 1720.
A més, la segona versió proposa una tècnica per eludir la llista negra de ports que són inacceptables per al seu ús amb el protocol TURN (Traversal Using Relais around NAT), que s'utilitza en WebRTC per comunicar-se entre dos hosts darrere de diferents NAT.
Les connexions TURN en WebRTC poden establir-se mitjançant navegadors no només per UDP, sinó també a través de TCP i dirigir-se a qualsevol port TCP de xarxa.
aquesta característica permet aplicar l'atac de NAT slipstreaming no només a H.323, sinó també a qualsevol altre protocol combinat, Com FTP i IRC, que estan inclosos en la llista de ports als quals no se'ls permet accedir a través d'HTTP, però no estan inclosos en la llista de ports prohibits per TURN.
El mètode també permet eludir la protecció agregada als navegadors contra el primer atac de NAT slipstreaming, basat en denegar les sol·licituds HTTP a port 5060 (SIP).
El problema ja s'ha solucionat en versions recents de Firefox 85, Chrome 87.0.4280.141, Edge 87.0.664.75 i Safari 14.0.3.
A més dels ports de xarxa associats amb el protocol H.323, els navegadors també estan bloquejats perquè no enviïn sol·licituds HTTP, HTTPS i FTP als ports TCP 69, 137, 161 i 6566.
En el nucli de Linux, la funcionalitat de la lliçó conntrack ALG en netfilter és desactivat per defecte des de la versió 4.14, és a dir defecte, els traductors d'adreces basats en nous nuclis de Linux no es veuen afectats pel problema.
Per exemple, OpenWRT no es veu afectat pel problema fins i tot a l'instal·lar paquets amb mòduls ALG. A el mateix temps, la vulnerabilitat es manifesta en la distribució VyOS, que fa servir el nucli de Linux 4.14, però l'indicador nf_conntrack_helper està explícitament habilitat, el que activa ALG per FTP i H.323.
El problema també afecta molts encaminadors de consum que s'envien amb nuclis de Linux més antics o que canvien la configuració de ALG. La capacitat d'atac també s'ha confirmat per tallafocs empresarials i traductors d'adreces basats en maquinari Fortinet (FG64, 60E), Cisco (csr1000, ASA) i HPE (vsr1000).
Com a recordatori, per dur a terme un atac de NAT slipstreaming, n'hi ha prou que la víctima llanci el codi JavaScript preparat per l'atacant, per exemple, obrint una pàgina en el lloc web de l'atacant o veient un inserit d'anunci maliciós en un lloc web legítim.
L'atac consta de tres etapes:
- A la primera etapa, l'atacant obté informació sobre la direcció interna de l'usuari, Que es pot determinar mitjançant WebRTC o, si WebRTC està deshabilitat, mitjançant atacs de força bruta amb el mesurament de el temps de resposta a l'sol·licitar una imatge oculta.
- En la segona etapa, es determinen els paràmetres de fragmentació de paquets, per la qual cosa el codi JavaScript executat al navegador de la víctima genera una sol·licitud HTTP POST gran (que no cap en un paquet) a servidor de l'atacant, utilitzant un port de xarxa no estàndard number per iniciar la configuració dels paràmetres de segmentació de TCP i la mida de MTU a la pila de la víctima de TCP.
- A la tercera etapa, el codi JavaScript genera i envia una sol·licitud HTTP especialment seleccionada (O TURN per UDP) a el port TCP 1720 (H.323) de servidor atacant, que, després de la fragmentació, es dividirà en dos paquets: el primer inclou Encapçalats HTTP i una part de les dades, i el segon forma un paquet H.323 vàlid, que conté la IP interna de la víctima.
font: https://www.armis.com