Nous faisons écho à une nouvelle recherche sur la sécurité qui a trouvé une nouvelle technique permettant à un attaquant de contourner le pare-feu et accédez à distance Service TCP / UDP sur l'ordinateur de la victime. Un problème qui, on le voit, peut sérieusement compromettre la sécurité. Nous allons expliquer en quoi consiste cette attaque.
Une nouvelle attaque permet d'éviter le pare-feu
Il s'agit d'une attaque de contournement NAT / pare-feu qui peut permettre à un attaquant d'accéder à n'importe quel service TCP / UDP. Cette menace est connue sous le nom de Slipstreaming NAT . C'est une méthode qui consiste à envoyer à la cible, à la victime, un lien vers un site malveillant (ou un site légitime chargé de publicités malveillantes) qui, lorsqu'il est visité, déclenche l'ouverture de la passerelle sur tout port TCP / UDP sur la victime. . Cela permet d'éviter les restrictions basées sur les ports dans le navigateur.
Cette nouvelle méthode a été révélée par un chercheur en sécurité sami kamkar . Le NAT Slipstreaming exploiterait le navigateur de l'utilisateur en conjonction avec le mécanisme de suivi de connexion Application Level Gateway (ALG), qui est intégré au NAT, aux routeurs et aux pare-feu en enchaînant l'extraction IP interne via le WebRTC ou l'attaque temporelle. , détection automatisée de la fragmentation MTU et IP à distance, taille des paquets TCP, mauvaise utilisation de l'authentification TURN, contrôle précis des limites de paquets et confusion de protocole pour l'exploitation du navigateur.
Comme nous le savons, NAT est le processus dans lequel un périphérique réseau, tel qu'un pare-feu, réaffecte un espace d'adresse IP à un autre en modifiant les informations d'adresse réseau dans l'en-tête IP des paquets pendant leur transit.
On peut dire que le principal avantage est qu'il limite le nombre d'adresses IP publiques utilisées dans le réseau interne d'une organisation et améliore la sécurité en permettant à une seule adresse IP publique d'être partagée entre plusieurs systèmes.
NAT Slipstreaming exploite la segmentation des paquets TCP et IP
Ce que fait le Slipstreaming NAT, c'est profiter de la segmentation des paquets TCP et IP pour ajuster à distance les limites des paquets et l'utiliser pour créer un paquet TCP / UDP commençant par une méthode SIP (qui est l'abréviation de Session Initiation Protocol) comme REGISTER ou INVITE. SIP est un protocole de communication utilisé pour lancer, maintenir et terminer des sessions multimédia en temps réel pour les applications vocales, vidéo et de messagerie.
En d'autres termes, une combinaison de segmentation de paquets et de trafic de demande SIP peut être utilisée dans HTTP pour tromper l'ALG NAT en ouvrant arbitrairement des ports pour les connexions entrantes.
Cela peut être accompli en soumettant une grande requête HTTP POST avec un ID et un formulaire Web caché pointant vers un serveur d'attaque exécutant un renifleur de paquets. Ceci est utilisé pour capturer la taille MTU, la taille des paquets de données, les tailles d'en-tête TCP et IP, etc. Il transmet ensuite les données de taille au client victime via un message POST séparé.
Au-delà de cela, il abuse également d'un authentification caractéristique à son tour (Traversal Using Relays around NAT), un protocole utilisé en conjonction avec NAT pour relayer les médias de n'importe quel pair vers un autre client sur le réseau, pour effectuer un débordement de paquets et fragmenter les paquets IP.
Il se compose essentiellement de débordement d'un paquet TCP ou UDP et le forcer à se scinder en deux de sorte que le paquet de données SIP soit au début de la limite du deuxième paquet.
Par la suite, l'adresse IP interne de la victime est extraite à l'aide de WebRTC ICE dans les navigateurs modernes comme Chrome or Firefox, ou en exécutant une attaque de temps sur les passerelles communes.
Selon le chercheur en sécurité derrière ce rapport, une fois que le client obtient les tailles de paquet et l'adresse IP interne, il crée un formulaire Web spécialement conçu qui remplit les données POST jusqu'à ce que le paquet soit fragmenté, auquel point le REGISTRE SIP contenant l'adresse IP interne l'adresse est ajoutée.
