Wir wiederholen eine neue Sicherheitsforschung, die eine neue Technik gefunden hat, mit der ein Angreifer die umgehen kann Firewall und remote auf alle zugreifen TCP / UDP-Dienst auf dem Computer des Opfers. Ein Problem, das, wie wir sehen können, die Sicherheit ernsthaft gefährden kann. Wir werden erklären, woraus dieser Angriff besteht.
Ein neuer Angriff ermöglicht es, die Firewall zu umgehen
Dies ist ein NAT / Firewall-Bypass-Angriff, mit dem ein Angreifer auf jeden TCP / UDP-Dienst zugreifen kann. Diese Bedrohung ist bekannt als NAT-Slipstreaming . Hierbei handelt es sich um eine Methode, bei der das Ziel, das Opfer, ein Link zu einer schädlichen Website (oder einer legitimen Website mit schädlichen Anzeigen) gesendet wird, die beim Besuch das Gateway dazu veranlasst, einen beliebigen TCP / UDP-Port des Opfers zu öffnen. . Dadurch können portbasierte Einschränkungen im Browser vermieden werden.
Diese neue Methode wurde von Sicherheitsforschern entdeckt Sami Kamkar . Berichten zufolge nutzt NAT Slipstreaming den Browser des Benutzers in Verbindung mit dem Verbindungsverfolgungsmechanismus Application Level Gateway (ALG), der in NAT, Router und Firewalls integriert ist, indem die interne IP-Extraktion über das WebRTC oder einen Zeitangriff verkettet wird. , automatisierte Remote-MTU- und IP-Fragmentierungserkennung, TCP-Paketgröße, Missbrauch der TURN-Authentifizierung, präzise Kontrolle der Paketlimits und Protokollverwirrung zur Ausnutzung des Browsers.
Wie wir wissen, NAT ist der Prozess, bei dem ein Netzwerkgerät, z. B. eine Firewall, einen IP-Adressraum einem anderen neu zuweist, indem die Netzwerkadressinformationen im IP-Header von Paketen während der Übertragung geändert werden.
Wir können sagen, dass der Hauptvorteil darin besteht, dass die Anzahl der im internen Netzwerk einer Organisation verwendeten öffentlichen IP-Adressen begrenzt und die Sicherheit verbessert wird, indem eine einzelne öffentliche IP-Adresse von mehreren Systemen gemeinsam genutzt werden kann.
NAT Slipstreaming nutzt die TCP- und IP-Paketsegmentierung
NAT Slipstreaming nutzt dies aus der TCP- und IP-Paketsegmentierung Paketgrenzen aus der Ferne anpassen und damit ein TCP / UDP-Paket erstellen, das mit einer SIP-Methode (kurz für Session Initiation Protocol) wie REGISTER oder INVITE beginnt. SIP ist ein Kommunikationsprotokoll, mit dem Multimedia-Sitzungen in Echtzeit für Sprach-, Video- und Messaging-Anwendungen initiiert, verwaltet und beendet werden.
Mit anderen Worten, eine Kombination aus Paketsegmentierung und SIP-Anforderungsverkehr kann in HTTP verwendet werden, um das NAT-ALG dazu zu bringen, Ports für eingehende Verbindungen willkürlich zu öffnen.
Dies kann erreicht werden, indem eine große HTTP-POST-Anforderung mit einer ID und einem versteckten Webformular gesendet wird, das auf einen Angriffsserver verweist, auf dem ein Paket-Sniffer ausgeführt wird. Dies wird verwendet, um MTU-Größe, Datenpaketgröße, TCP- und IP-Header-Größen und mehr zu erfassen. Anschließend werden die Größendaten über eine separate POST-Nachricht an den Client des Opfers übertragen.
Darüber hinaus missbraucht es auch eine Beglaubigung -Funktion im Gegenzug (Traversal Using Relays around NAT), ein Protokoll, das in Verbindung mit NAT verwendet wird, um Medien von einem Peer an einen anderen Client im Netzwerk weiterzuleiten, einen Paketüberlauf durchzuführen und die IP-Pakete zu fragmentieren.
Es besteht im Wesentlichen aus Überlaufen eines TCP- oder UDP-Pakets und Erzwingen, dass es in zwei Teile geteilt wird, so dass das SIP-Datenpaket am Anfang der Grenze des zweiten Pakets liegt.
Anschließend wird die interne IP-Adresse des Opfers mit WebRTC ICE in modernen Browsern wie extrahiert Chrome or Firefoxoder durch Ausführen eines Zeitangriffs auf gängige Gateways.
Laut dem Sicherheitsforscher, der hinter diesem Bericht steht, erstellt der Client, sobald er die Paketgrößen und die interne IP-Adresse erhalten hat, ein speziell gestaltetes Webformular, das die POST-Daten ausfüllt, bis das Paket fragmentiert ist. Zu diesem Zeitpunkt enthält das SIP-Register die interne IP Adresse wird hinzugefügt.
