Обнародован новый вариант атаки NAT slipstreaming, который позволяет установить сетевое соединение от сервера злоумышленника к любому порту UDP или TCP в системе пользователя, открывшему подготовленную злоумышленником веб-страницу в браузере.
Атака позволяет злоумышленнику отправлять любые данные на любой пользовательский порт, Независимо от использования диапазона внутренних адресов жертвы в системе жертвы, доступ к сети, из которой она закрыта, напрямую и возможен только через транслятор адресов.
Принцип работы нового варианта с помощью атаки NAT slipstreaming (CVE-2021-23961, CVE-2020-16043) иs идентично оригинальному методу, различия сводятся к использованию других протоколов, которые обрабатываются ALG (Шлюзы уровня приложений).
В первом варианте атаки для обмана ALG использовалась манипуляция с протоколом SIP, который использует несколько сетевых портов (один для данных и один для управления). Второй вариант позволяет аналогичные манипуляции с протоколом VoIP H.323, который использует TCP-порт 1720.
Также вторая версия предлагает метод обхода черного списка портов, которые недопустимы для использования с протоколом TURN (Traversal Using Relays around NAT), который используется в WebRTC для связи между двумя хостами за разными NAT.
Соединения TURN в WebRTC могут быть установлены через браузеры. не только по UDP, но и по TCP и переходить на любой сетевой порт TCP.
Эта особенность позволяет применять атаку NAT со скольжением не только к H.323, но и к любому другому комбинированному протоколу.такие как FTP и IRC, которые включены в список портов, которым запрещен доступ через HTTP, но не включены в список запрещенных портов для TURN.
Метод также позволяет обходить дополнительную защиту браузерам против первой атаки с проскальзыванием NAT, основанной на отказе HTTP-запросов к порту 5060 (SIP).
Проблема уже устранена в последних версиях Firefox 85, Chrome 87.0.4280.141, Edge 87.0.664.75 и Safari 14.0.3.
Помимо сетевых портов, связанных с протоколом H.323, браузерам также запрещено отправлять запросы HTTP, HTTPS и FTP на TCP-порты 69, 137, 161 и 6566.
В ядре Linux, функциональность модуля conntrack ALG в netfilter отключена по умолчанию, начиная с версии 4.14, т.е. по умолчанию преобразователи адресов на базе новых ядер Linux не подвержены данной проблеме.
Например, OpenWRT не подвержен этой проблеме даже при установке пакетов с модулями ALG. При этом уязвимость проявляется в дистрибутиве VyOS, который использует ядро Linux 4.14, но явно включен флаг nf_conntrack_helper, который запускает ALG для FTP и H.323.
Проблема тоже влияет на многие потребительские маршрутизаторы, которые поставляются со старыми ядрами Linux или которые изменяют настройки ALG. Возможность атак была также подтверждена для аппаратных межсетевых экранов предприятий и трансляторов адресов Fortinet (FG64, 60E), Cisco (csr1000, ASA) и HPE (vsr1000).
Напоминаем, что для проведения атаки NAT со слипстримингом жертве достаточно запустить код JavaScript, подготовленный злоумышленником, например, открыв страницу на сайте злоумышленника или просмотрев вредоносную рекламную вставку на сайте.
Атака состоит из трех этапов.:
- На первом этапе злоумышленник получает информацию о внутреннем адресе пользователя, который может быть определен с помощью WebRTC или, если WebRTC отключен, атак методом перебора с измерением времени отклика при запросе скрытого изображения.
- На втором этапе определяются параметры фрагментации пакетов, для которого код JavaScript, выполняемый в браузере жертвы, генерирует большой HTTP-запрос POST (который не помещается в пакете) к серверу злоумышленника, используя нестандартный номер сетевого порта для запуска конфигурации параметров сегментации TCP и MTU. размер в стеке TCP жертвы.
- На третьем этапе Код JavaScript генерирует и отправляет специально выбранный HTTP-запрос. (или TURN для UDP) на TCP-порт 1720 (H.323) атакующего сервера, который после фрагментации разделится на два пакета: первый включает HTTP-заголовки и часть данных, а второй формирует пакет Valid H.323, который содержит внутренний IP-адрес жертвы.
источник: https://www.armis.com