NAT-slipstreaming-hyökkäyksen uusi versio paljastettiin, joka mahdollistaa verkkoyhteyden muodostamisen hyökkääjän palvelimelta mihin tahansa käyttäjän järjestelmän UDP- tai TCP-porttiin, joka avasi hyökkääjän valmisteleman verkkosivun selaimessa.
Hyökkäys antaa hyökkääjän lähettää tietoja mihin tahansa käyttäjäporttiin, riippumatta uhrin sisäisen osoitealueen käytöstä uhrin järjestelmässä, pääsy verkkoon, josta se on suljettu suoraan, on mahdollista vain osoitekääntäjän kautta.
Uuden variantin toimintaperiaate NAT slipstreaming-hyökkäyksellä (CVE-2021-23961, CVE-2020-16043) jas identtinen alkuperäisen menetelmän kanssa, eroavaisuudet pelkästään muiden protokollien käyttöön, jotka ALG käsittelee (Sovellustason yhdyskäytävät).
Hyökkäyksen ensimmäisessä muunnoksessa, ALG: n huijaamiseksi, käytettiin SIP-protokollan manipulointia, joka käyttää useita verkkoportteja (yhtä dataa ja toista ohjaukseen). Toinen vaihtoehto sallii samanlaiset käsittelyt VoIP H.323 -protokollalla, joka käyttää TCP-porttia 1720.
Myös toinen versio ehdottaa tekniikkaa ohittamaan porttien mustan listan, jota ei voida hyväksyä käytettäväksi TURN (Traversal Using Relays around NAT) -protokollan kanssa, jota WebRTC: ssä käytetään kahden NATin takana olevan isännän väliseen viestintään.
TURN-yhteydet WebRTC: ssä voidaan muodostaa selainten kautta paitsi UDP: lle myös TCP: n kautta ja siirry mihin tahansa verkon TCP-porttiin.
Tämä ominaisuus sallii NAT-slipstreaming-hyökkäyksen soveltaa paitsi H.323: een myös muihin yhdistettyihin protokolliinkuten FTP ja IRC, jotka sisältyvät niiden porttien luetteloon, joihin ei ole pääsyä HTTP: n kautta, mutta jotka eivät sisälly TURN-portin kiellettyjen porttien luetteloon.
Menetelmä myös sallii lisäsuojauksen ohittamisen selaimille ensimmäistä NAT-slipstreaming-hyökkäystä vastaan, joka perustuu HTTP-pyyntöjen estämiseen portille 5060 (SIP).
Ongelma on jo korjattu Firefox 85: n, Chrome 87.0.4280.141, Edge 87.0.664.75 ja Safari 14.0.3 uusimmissa versioissa.
H.323-protokollaan liittyvien verkkoporttien lisäksi selaimia estetään myös lähettämästä HTTP-, HTTPS- ja FTP-pyyntöjä TCP-portteihin 69, 137, 161 ja 6566.
Linux-ytimessä, verkkosuodattimen conntrack ALG -moduulin toiminta on poistettu käytöstä oletusarvoisesti versiosta 4.14 lähtien, ts. ongelma ei oletusarvoisesti vaikuta uusiin Linux-ytimiin perustuviin osoitekääntäjiin.
Esimerkiksi OpenWRT: hen ei vaikuta ongelma, vaikka asennat paketteja ALG-moduuleilla. Samalla haavoittuvuus ilmenee VyOS-jakelussa, joka käyttää Linux 4.14 -ydintä, mutta nf_conntrack_helper-lippu on nimenomaisesti käytössä, mikä laukaisee ALG: n FTP: lle ja H.323: lle.
Myös ongelma vaikuttaa moniin kuluttajareitittimiin, jotka toimittavat vanhempia Linux-ytimiä tai jotka muuttavat ALG-asetuksia. Hyökkäysominaisuudet on vahvistettu myös Fortinet (FG64, 60E), Cisco (csr1000, ASA) ja HPE (vsr1000) -laitteistopohjaisiin yrityspalomuureihin ja osoitekääntäjiin.
Muistutuksena on, että NAT-slipstreaming-hyökkäyksen suorittamiseksi riittää, että uhri käynnistää hyökkääjän valmistaman JavaScript-koodin esimerkiksi avaamalla sivun hyökkääjän verkkosivustolla tai katsomalla haitallista mainoslisää verkkosivustolta.
Hyökkäys koostuu kolmesta vaiheesta:
- Ensimmäisessä vaiheessa hyökkääjä saa tietoja käyttäjän sisäisestä osoitteesta, joka voidaan määrittää WebRTC: llä tai, jos WebRTC on poistettu käytöstä, raakavoimahyökkäyksillä mitattaessa vasteaikaa piilotettua kuvaa pyydettäessä.
- Toisessa vaiheessa paketin pirstoutumisparametrit määritetään, jolle uhrin selaimessa suoritettu JavaScript-koodi luo suuren HTTP POST -pyynnön (joka ei mahdu pakettiin) hyökkääjän palvelimelle käyttäen epätyypillistä verkkoportin numeroa aloittaakseen TCP: n ja MTU: n segmentointiparametrien konfiguroinnin TCP-uhrin pino.
- Kolmannessa vaiheessa JavaScript-koodi luo ja lähettää erityisen valitun HTTP-pyynnön (tai TURN UDP: lle) hyökkäävän palvelimen TCP-porttiin 1720 (H.323), joka pirstoutumisen jälkeen jaetaan kahteen pakettiin: ensimmäinen sisältää HTTP-otsikot ja osan tiedoista ja toinen muodostaa kelvollisen H-paketin .323, joka sisältää uhrin sisäisen IP-osoitteen.
lähde: https://www.armis.com