Visitar um site malicioso pode expor os serviços de rede local a ataques remotos
Um método de ataque recém-identificado pode contornar o Network Address Translation (NAT) e firewalls, permitindo que o invasor acesse remotamente os serviços TCP / UDP na rede interna da vítima, explica o pesquisador de segurança Samy Kamkar.
Especialistas em segurança relataram a descoberta de uma nova técnica de ataque que permite aos atacantes contornar o firewall e acessar remotamente qualquer serviço TCP / UDP em um sistema de destino, o que poderia ter consequências desastrosas para as vítimas.
Este é um ataque de desvio de NAT (Network Address Translation) que permitiria que hackers mal-intencionados acessassem qualquer serviço TCP / UDP usando um ataque conhecido como NAT Slipstreaming. Este método envolve o envio de um link ao alvo (vítima) para um site malicioso, de onde o gateway é acionado para abrir a porta TCP / UDP de qualquer vítima, contornando as restrições baseadas em porta do navegador
Este ataque explora o navegador do usuário em conjunto com o mecanismo de rastreamento de conexão do Application Level Gateway (ALG), integrado ao NAT, roteadores e firewalls, gerando uma série de comportamentos imprevistos de abuso do navegador.
NAT (Network Address Translation) – é o processo no qual um dispositivo de rede (um firewall, por exemplo) re-atribui um endereço IP público a um dispositivo, modificando as informações do endereço de rede no cabeçalho IP dos pacotes enquanto eles estão em trânsito. A principal vantagem é que ele limita o número de endereços IP públicos usados na rede interna de uma organização e melhora a segurança, permitindo que um único endereço IP público seja compartilhado entre vários dispositivos.
Os atacantes tiram proveito da segmentação de pacotes TCP e IP para ajustar remotamente os limites do pacote e usá-los para criar um pacote TCP / UDP começando com um método SIP, um protocolo de comunicação usado para iniciar, manter e encerrar sessões de multimídia em aplicações de comunicação remota.
O ataque usa uma combinação de segmentação de pacotes e tráfego de solicitação SIP sobre HTTP para enganar o NAT ALG para abrir portas arbitrariamente para conexões de entrada. Isso pode ser feito enviando uma grande solicitação HTTP POST com um ID e um formulário da web oculto que aponta para um servidor de ataque, executando um sniffer de pacotes. Os dados comprometidos acabarão na posse dos hackers por meio de uma mensagem POST separada.
Para ter acesso a prova de conceito deste ataque e informações detalhadas do pesquisador de segurança Samy Kamkar acesse o endereço em https://github.com/samyk/slipstream
Comentário do especialista
Novos ataques sofisticados são disponibilizados diariamente na Internet, dificultando as atividades dos administradores e mantenedores de redes e sistemas corporativos. A mitigação ou prevenção destes ataques requerem um conjunto de processos, tecnologias e, principalmente, conscientização dos usuários. Não raro, o investimento para manter um exército interno de profissionais qualificados e atualizados, pode inviabilizar o projeto de proteção corporativa. Contar com os serviços, a ajuda e recomendações de um parceiro experiente e antenado com as novas ameaças cibernéticas, permite que a corporação possa investir seus recursos e esforços em suas atividades fim.
Frederico Freitas, CISSP é Solutions Sales Engineer na Add Value e especialista em cibersegurança.
Clique aqui e fale conosco
—
Fonte: https://github.com/samyk/slipstream publicado em 31/10/2020
