揭露了NAT滑行攻击的新变种,它允许建立从攻击者的服务器到用户系统上任何UDP或TCP端口的网络连接,该用户系统在浏览器中打开了由攻击者准备的网页。
攻击 允许攻击者将任何数据发送到任何用户端口, 无论在受害者系统中使用受害者的内部地址范围如何,都可以直接访问封闭该地址的网络,并且只能通过地址转换器进行访问。
新型号的工作原理 通过NAT滑流攻击(CVE-2021-23961,CVE-2020-16043)和与原始方法相同, 差异 减少了由ALG处理的其他协议的使用 (应用程序级别网关)。
在攻击的第一个变体中,为了欺骗ALG,使用了对SIP协议的操纵,该协议使用多个网络端口(一个用于数据,另一个用于控制)。 第二个选项允许使用VoIP H.323协议进行类似的操作,该协议使用TCP端口1720。
另外,第二版 提出了一种绕过不可接受的端口黑名单的技术 用于TURN(围绕NAT进行中继传输)协议,该协议在WebRTC中用于在不同NAT后面的两个主机之间进行通信。
可以通过浏览器建立WebRTC中的TURN连接 不仅适用于UDP,还适用于通过TCP并转到任何网络TCP端口。
这项特征 允许NAT滑漏攻击不仅可以应用于H.323,而且可以应用于任何其他组合协议例如FTP和IRC,它们包含在不允许通过HTTP访问的端口列表中,但不包含在TURN的禁止端口列表中。
该方法也 允许绕过对浏览器的附加保护 基于拒绝向端口5060(SIP)发出的HTTP请求,从而抵御了第一个NAT滑流攻击。
该问题已在Firefox 85,Chrome 87.0.4280.141,Edge 87.0.664.75和Safari 14.0.3的最新版本中得到解决。
除了与H.323协议关联的网络端口之外,浏览器也无法向HTTP端口69、137、161和6566发送HTTP,HTTPS和FTP请求。
在Linux内核中, netfilter中的conntrack ALG模块的功能已禁用 从版本4.14开始默认情况下(即默认情况下),基于新Linux内核的地址转换器不受此问题的影响。
例如: 即使安装带有ALG模块的软件包,OpenWRT也不受到该问题的影响。 同时,该漏洞在使用Linux 4.14内核的VyOS发行版中体现出来,但是nf_conntrack_helper标志已明确启用,这会触发FTP和H.323的ALG。
问题也是 影响许多旧版Linux内核附带的消费者路由器,或者 更改ALG设置。 还已确认基于硬件的Fortinet(FG64、60E),Cisco(csr1000,ASA)和HPE(vsr1000)企业防火墙和地址转换器的攻击能力。
提醒一下,要进行NAT滑移攻击,受害者就足以启动攻击者准备的JavaScript代码,例如,通过打开攻击者网站上的页面或查看合法网站上的恶意广告插入内容。
攻击分为三个阶段:
- 在第一阶段 攻击者获得有关用户内部地址的信息,可以通过WebRTC来确定,如果禁用了WebRTC,则可以通过蛮力攻击来确定请求隐藏图像时的响应时间。
- 在第二阶段 确定分组分段参数, 受害者浏览器中执行的JavaScript代码为此使用非标准网络端口号向攻击者的服务器生成大型HTTP POST请求(该请求不适合数据包),以开始配置TCP和MTU的分段参数TCP受害者堆栈中的大小。
- 在第三阶段 JavaScript代码生成并发送特别选择的HTTP请求 (或UDP的TURN)到攻击服务器的TCP端口1720(H.323),该服务器在分段后将分成两个数据包:第一个包含HTTP标头和一部分数据,第二个形成有效的数据包H.323,其中包含受害者的内部IP。
数据来源: https://www.armis.com