NAT Slipstreaming v2.0

Une variante nouvellement conçue de l’attaque NAT Slipstreaming peut être exploitée pour compromettre et exposer n’importe quel appareil dans un réseau interne, selon les dernières recherches.

Détaillé par la société de sécurité IoT d’entreprise Armis, la nouvelle attaque (CVE-2020-16043 et CVE-2021-23961) s’appuie sur la technique précédemment décrite pour contourner les routeurs et les pare-feu et atteindre tout appareil non géré au sein du réseau interne à partir d’Internet.

Révélée pour la première fois par le chercheur en sécurité Samy Kamkar fin octobre 2020, l’attaque basée sur JavaScript consistait à inciter un utilisateur à visiter un site Web malveillant pour contourner les restrictions de port basées sur le navigateur et permettre à l’attaquant d’accéder à distance aux services TCP / UDP sur l’appareil de la victime, même ceux qui étaient protégés par un pare-feu ou NAT.

auditeur de mot de passe

Bien que des atténuations partielles aient été publiées le 11 novembre pour contrecarrer l’attaque en Chrome 87, Firefox 84, et Safari en empêchant les connexions sur le port 5060 ou 5061, les chercheurs d’Armis Ben Seri et Gregory Vishnipolsky ont révélé que “NAT Slipstreaming 2.0” expose “les périphériques embarqués, non gérés, à un plus grand risque, en permettant aux attaquants d’exposer des périphériques situés sur des réseaux internes, directement sur Internet. “

Les périphériques vulnérables qui pourraient être potentiellement exposés à la suite de cette attaque comprennent les imprimantes de bureau, les contrôleurs industriels, les caméras IP et d’autres interfaces non authentifiées qui pourraient être exploitées une fois que le NAT / pare-feu est amené à ouvrir le trafic réseau vers le périphérique victime.

«L’utilisation de la nouvelle variante de l’attaque NAT Slipstreaming pour accéder à ces types d’interfaces à partir d’Internet peut entraîner des attaques allant d’une nuisance à une menace sophistiquée de ransomware», ont déclaré les chercheurs.

Google, Apple, Mozilla et Microsoft ont tous publié des correctifs pour Chrome (v87.0.4280.141), Safari (v14.0.3), Firefox (v85.0) et Edge (v87.0.664.75) pour répondre à la nouvelle attaque.

Utilisation de paquets H.323 pour faciliter le Slipstreaming NAT

Mettre tout simplement, Slipstreaming NAT permet à un mauvais acteur de contourner le NAT / pare-feu et d’accéder à distance à tout service TCP / UDP lié à une machine victime à la suite de la visite de la cible sur un site Web infecté par un logiciel malveillant spécialement conçu à cet effet.

En particulier, le code JavaScript malveillant exécuté sur le navigateur de la victime extrait l’adresse IP interne et profite de la segmentation des paquets TCP / IP pour créer de grandes balises TCP / UDP et ensuite passer en contrebande un protocole d’initiation de session (siroter) paquet contenant l’adresse IP interne dans une requête HTTP POST sortante via le port TCP 5060.

“Ceci est réalisé en réglant soigneusement le [Maximum Segment Size] valeur d’une connexion TCP contrôlée par un attaquant depuis le navigateur de la victime vers le serveur d’un attaquant, de sorte qu’un segment TCP au «milieu» de la requête HTTP soit entièrement contrôlé par l’attaquant », ont expliqué les chercheurs.

En conséquence, cela amène la passerelle au niveau de l’application NAT (ALG) à ouvrir des ports arbitraires pour les connexions entrantes vers le périphérique du client via l’adresse IP interne.

NAT Slipstreaming 2.0 est similaire à l’attaque susmentionnée en ce qu’il utilise la même approche mais repose sur H.323 Protocole VoIP au lieu de SIP pour envoyer plusieurs requêtes de récupération au serveur de l’attaquant sur le port H.323 (1720), permettant ainsi à l’attaquant d’itérer à travers une plage d’adresses IP et de ports, et ouvrant chacun d’eux à Internet.

“Une solution durable, malheureusement, exigerait [overhaul] de l’infrastructure Internet à laquelle nous sommes habitués », ont conclu les chercheurs.

“Il est important de comprendre que la sécurité n’était pas le principal objectif de la création de NAT, mais plutôt un sous-produit de l’épuisement potentiel des adresses IPv4. Les exigences héritées telles que les ALG sont toujours un thème dominant dans la conception des NAT. aujourd’hui, et sont la principale raison pour laquelle les attaques de contournement sont trouvées encore et encore. “



Leave a Reply