Un nuevo ataque podría permitir que los piratas informáticos remotos apunten a dispositivos en redes internas

Una variante recién diseñada del ataque NAT Slipstreaming se puede aprovechar para comprometer y exponer cualquier dispositivo en una red interna, según las últimas investigaciones.

Detallado por la firma de seguridad de IoT empresarial Armis, el nuevo ataque (CVE-2020-16043 y CVE-2021-23961) se basa en la técnica previamente revelada para eludir enrutadores y firewalls y llegar a cualquier dispositivo no administrado dentro de la red interna desde Internet.

Revelado por primera vez por el investigador de seguridad Samy Kamkar a fines de octubre de 2020, el ataque basado en JavaScript se basaba en atraer a un usuario para que visitara un sitio web malicioso para eludir las restricciones de puerto basadas en el navegador y permitir al atacante acceder de forma remota a los servicios TCP / UDP en el dispositivo de la víctima. incluso aquellos que estaban protegidos por un firewall o NAT.

Aunque el 11 de noviembre se lanzaron mitigaciones parciales para frustrar el ataque en Chrome 87, Firefox 84 y Safari al evitar las conexiones en el puerto 5060 o 5061, los investigadores de Armis Ben Seri y Gregory Vishnipolsky revelaron que 'NAT Slipstreaming 2.0' pone 'integrado, no administrado, dispositivos con mayor riesgo, al permitir que los atacantes expongan dispositivos ubicados en redes internas, directamente a Internet.

Los dispositivos vulnerables que podrían estar potencialmente expuestos como consecuencia de este ataque incluyen impresoras de oficina, controladores industriales, cámaras IP y otras interfaces no autenticadas que podrían explotarse una vez que se engañe al NAT / firewall para que abra el tráfico de red al dispositivo víctima.

'El uso de la nueva variante del ataque NAT Slipstreaming para acceder a este tipo de interfaces desde Internet, puede resultar en ataques que van desde una molestia hasta una sofisticada amenaza de ransomware', dijeron los investigadores.

Google, Apple, Mozilla y Microsoft han lanzado parches para los navegadores Chrome (v87.0.4280.141), Safari (v14.0.3), Firefox (v85.0) y Edge (v87.0.664.75) para abordar los nuevos ataque.

Uso de paquetes H.323 para facilitar NAT Slipstreaming

En pocas palabras, NAT Slipstreaming permite a un mal actor eludir NAT / firewall y acceder de forma remota a cualquier servicio TCP / UDP vinculado a una máquina víctima como resultado de que el objetivo visita un sitio web infectado con malware especialmente diseñado para este propósito.

En particular, el código JavaScript malicioso que se ejecuta en el navegador de la víctima extrae la dirección IP interna y aprovecha la segmentación de paquetes TCP / IP para crear grandes balizas TCP / UDP y, posteriormente, contrabandear un paquete de Protocolo de inicio de sesión (SIP) que contiene la dirección IP interna dentro de un Solicitud de salida HTTP POST a través del puerto TCP 5060.

Esto se logra estableciendo cuidadosamente el valor de [Tamaño máximo de segmento] de una conexión TCP controlada por un atacante desde el navegador de la víctima al servidor de un atacante, de modo que un segmento TCP en el 'medio' de la solicitud HTTP sea completamente controlado por el atacante. ', explicaron los investigadores.

Como consecuencia, esto hace que la puerta de enlace de nivel de aplicación NAT (ALG) abra puertos arbitrarios para conexiones entrantes al dispositivo del cliente a través de la dirección IP interna.

NAT Slipstreaming 2.0 es similar al ataque mencionado anteriormente en que utiliza el mismo enfoque pero se basa en el protocolo VoIP H.323 en lugar de SIP para enviar múltiples solicitudes de recuperación al servidor del atacante en el puerto H.323 (1720), lo que permite al atacante iterar a través de un rango de direcciones IP y puertos, y abrir cada uno de ellos a Internet.

'Una solución duradera, desafortunadamente, requeriría una [revisión] de la infraestructura de Internet a la que estamos acostumbrados', concluyeron los investigadores.

'Es importante entender que la seguridad no fue la agenda principal para la creación de NAT, sino que fue principalmente un subproducto del potencial agotamiento de las direcciones IPv4. Los requisitos heredados, como los ALG, siguen siendo un tema dominante en el diseño de NAT en la actualidad, y son la razón principal por la que se encuentran una y otra vez los ataques de bypass ”.