Một biến thể mới được phát minh của NAT Slipstreaming tấn công có thể được tận dụng để xâm phạm và làm lộ bất kỳ thiết bị nào trong mạng nội bộ, theo nghiên cứu mới nhất.
Chi tiết bởi công ty bảo mật IoT doanh nghiệp Armis, cuộc tấn công mới (CVE-2020-16043 và CVE-2021-23961) được xây dựng dựa trên kỹ thuật đã được tiết lộ trước đó để vượt qua bộ định tuyến và tường lửa và tiếp cận bất kỳ thiết bị không được quản lý nào trong mạng nội bộ từ Internet.
Đầu tiên tiết lộ bởi nhà nghiên cứu bảo mật Samy Kamkar vào cuối tháng 10 năm 2020, cuộc tấn công dựa trên JavaScript dựa vào việc dụ người dùng truy cập vào một trang web độc hại để phá vỡ các hạn chế cổng dựa trên trình duyệt và cho phép kẻ tấn công truy cập từ xa các dịch vụ TCP / UDP trên thiết bị của nạn nhân, ngay cả những đã được bảo vệ bởi tường lửa hoặc NAT.
Mặc dù các biện pháp giảm nhẹ một phần đã được đưa ra vào ngày 11 tháng 11 để ngăn chặn cuộc tấn công ở Chrome 87, Firefox 84và Safari Bằng cách ngăn chặn các kết nối trên cổng 5060 hoặc 5061, các nhà nghiên cứu của Armis, Ben Seri và Gregory Vishnipolsky tiết lộ rằng “NAT Slipstreaming 2.0” đặt “các thiết bị nhúng, không được quản lý, có nguy cơ cao hơn, bằng cách cho phép những kẻ tấn công để lộ các thiết bị nằm trên mạng nội bộ, trực tiếp với Internet. “
Các thiết bị dễ bị tổn thương có khả năng bị lộ do hậu quả của cuộc tấn công này bao gồm máy in văn phòng, bộ điều khiển công nghiệp, camera IP và các giao diện chưa được xác thực khác có thể bị khai thác khi NAT / tường lửa bị lừa mở lưu lượng mạng tới thiết bị nạn nhân.
Các nhà nghiên cứu cho biết: “Sử dụng biến thể mới của cuộc tấn công NAT Slipstreaming để truy cập các loại giao diện này từ Internet, có thể dẫn đến các cuộc tấn công từ phiền toái đến mối đe dọa ransomware tinh vi”.
Google, Apple, Mozilla và Microsoft đều đã phát hành các bản vá cho Chrome (v87.0.4280.141), Safari (v14.0.3), Firefox (v85.0) và Edge (v87.0.664.75) trình duyệt để giải quyết cuộc tấn công mới.
Sử dụng gói H.323 để tạo điều kiện cho NAT Slipstreaming
Đơn giản thôi, NAT Slipstreaming cho phép kẻ xấu vượt qua NAT / tường lửa và truy cập từ xa vào bất kỳ dịch vụ TCP / UDP nào được liên kết với máy nạn nhân do mục tiêu truy cập trang web bị nhiễm phần mềm độc hại được thiết kế đặc biệt cho mục đích này.
Đặc biệt, mã JavaScript độc hại chạy trên trình duyệt của nạn nhân trích xuất địa chỉ IP nội bộ và lợi dụng việc phân đoạn gói TCP / IP để tạo ra các báo hiệu TCP / UDP lớn và sau đó nhập lậu Giao thức khởi tạo phiên (một hớp) gói chứa địa chỉ IP nội bộ bên trong một yêu cầu HTTP POST gửi đi qua cổng TCP 5060.
“Điều này đạt được bằng cách thiết lập cẩn thận [Maximum Segment Size] Các nhà nghiên cứu giải thích rằng giá trị của kết nối TCP bị kẻ tấn công kiểm soát từ trình duyệt của nạn nhân đến máy chủ của kẻ tấn công, do đó, một phân đoạn TCP ở ‘giữa’ của yêu cầu HTTP sẽ được kiểm soát hoàn toàn bởi kẻ tấn công “, các nhà nghiên cứu giải thích.
Do đó, điều này khiến cổng cấp ứng dụng NAT (ALG) mở các cổng tùy ý cho các kết nối gửi đến thiết bị của khách hàng thông qua địa chỉ IP nội bộ.
NAT Slipstreaming 2.0 tương tự như cuộc tấn công nói trên ở chỗ nó sử dụng cùng một cách tiếp cận nhưng dựa vào H.323 Giao thức VoIP thay vì SIP để gửi nhiều yêu cầu tìm nạp đến máy chủ của kẻ tấn công trên cổng H.323 (1720), do đó cho phép kẻ tấn công lặp qua một loạt địa chỉ IP và cổng, đồng thời mở từng địa chỉ IP và cổng đó lên Internet.
“Thật không may, một giải pháp lâu dài sẽ đòi hỏi một số [overhaul] của cơ sở hạ tầng Internet mà chúng ta đã quen thuộc, “các nhà nghiên cứu kết luận.
“Điều quan trọng là phải hiểu rằng bảo mật không phải là chương trình chính để tạo ra NAT, mà chủ yếu là sản phẩm phụ của sự cạn kiệt tiềm năng của địa chỉ IPv4. Các yêu cầu kế thừa như ALG vẫn là chủ đề chính trong thiết kế NAT ngày nay, và là lý do chính khiến các cuộc tấn công bỏ qua được tìm thấy nhiều lần. “
