Un nuevo ataque podría permitir que los piratas informáticos remotos apunten a dispositivos en redes internas

NAT Slipstreaming v2.0

Una variante recientemente diseñada del ataque NAT Slipstreaming se puede aprovechar para comprometer y exponer cualquier dispositivo en una red interna, según las últimas investigaciones.

Detallado por la firma de seguridad de IoT empresarial Armis, el nuevo ataque (CVE-2020-16043 y CVE-2021-23961) se basa en la técnica previamente revelada para eludir enrutadores y firewalls y llegar a cualquier dispositivo no administrado dentro de la red interna desde Internet.

Revelado por primera vez por el investigador de seguridad Samy Kamkar a fines de octubre de 2020, el ataque basado en JavaScript se basaba en atraer a un usuario para que visitara un sitio web malicioso para eludir las restricciones de puerto basadas en el navegador y permitir que el atacante accediera de forma remota a los servicios TCP/UDP en el dispositivo de la víctima. incluso aquellos que estaban protegidos por un firewall o NAT.

Aunque se lanzaron mitigaciones parciales el 11 de noviembre para frustrar el ataque en Chrome 87, Firefox 84 y Safari al evitar conexiones en el puerto 5060 o 5061, los investigadores de Armis Ben Seri y Gregory Vishnipolsky revelaron que «NAT Slipstreaming 2.0» pone «integrado, no administrado, dispositivos con mayor riesgo, al permitir que los atacantes expongan dispositivos ubicados en redes internas, directamente a Internet».

Los dispositivos vulnerables que podrían estar potencialmente expuestos como consecuencia de este ataque incluyen impresoras de oficina, controladores industriales, cámaras IP y otras interfaces no autenticadas que podrían explotarse una vez que se engaña al NAT/firewall para que abra el tráfico de red al dispositivo de la víctima.

«Usar la nueva variante del ataque NAT Slipstreaming para acceder a este tipo de interfaces desde Internet puede resultar en ataques que van desde una molestia hasta una amenaza sofisticada de ransomware», dijeron los investigadores.

Google, Apple, Mozilla y Microsoft lanzaron parches para los navegadores Chrome (v87.0.4280.141), Safari (v14.0.3), Firefox (v85.0) y Edge (v87.0.664.75) para abordar el nuevo ataque.

Uso de paquetes H.323 para facilitar NAT Slipstreaming

En pocas palabras, NAT Slipstreaming permite a un mal actor eludir NAT / firewall y acceder de forma remota a cualquier servicio TCP / UDP vinculado a una máquina víctima como resultado de que el objetivo visite un sitio web infectado con malware especialmente diseñado para este propósito.

En particular, el código JavaScript malicioso que se ejecuta en el navegador de la víctima extrae la dirección IP interna y aprovecha la segmentación de paquetes TCP/IP para crear grandes balizas TCP/UDP y aprovechar el contrabando de un paquete de Protocolo de inicio de sesión (SIP) que contiene la dirección IP interna dentro de un Solicitud HTTP POST saliente a través del puerto TCP 5060.

«Esto se logra ajustando cuidadosamente el [Maximum Segment Size] valor de una conexión TCP controlada por un atacante desde el navegador de la víctima hasta el servidor de un atacante, de modo que un segmento TCP en el ‘medio’ de la solicitud HTTP será controlado por completo por el atacante «, explicaron los investigadores.

Como consecuencia, esto hace que la puerta de enlace de nivel de aplicación (ALG) NAT abra puertos arbitrarios para conexiones entrantes al dispositivo del cliente a través de la dirección IP interna.

NAT Slipstreaming 2.0 es similar al ataque mencionado anteriormente en el sentido de que utiliza el mismo enfoque pero se basa en el protocolo VoIP H.323 en lugar de SIP para enviar múltiples solicitudes de búsqueda al servidor del atacante en el puerto H.323 (1720), lo que le permite al atacante iterar a través de un rango de direcciones IP y puertos, y abrir cada uno de ellos a Internet.

«Una solución duradera, desafortunadamente, requeriría algunos [overhaul] de la infraestructura de Internet a la que estamos acostumbrados», concluyeron los investigadores.

«Es importante comprender que la seguridad no fue la agenda principal para la creación de NAT, sino que fue principalmente un subproducto del agotamiento potencial de las direcciones IPv4. Los requisitos heredados, como los ALG, siguen siendo un tema dominante en el diseño de NAT. hoy, y son la razón principal por la que los ataques de elusión se encuentran una y otra vez».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática