Portada » Home » Nuevo ataque de derivación de NAT / firewall permite acceder a cualquier servicio TCP / UDP

Nuevo ataque de derivación de NAT / firewall permite acceder a cualquier servicio TCP / UDP

Una nueva investigación ha demostrado una técnica que permite a un atacante eludir la protección del firewall y acceder de forma remota a cualquier servicio TCP / UDP en una máquina víctima.

Llamado NAT Slipstreaming , el método implica enviar al objetivo un enlace a un sitio malicioso (o un sitio legítimo cargado con anuncios maliciosos) que, cuando se visita, finalmente activa la puerta de enlace para abrir cualquier puerto TCP / UDP en la víctima, evitando así el navegador. restricciones de puerto basadas.

Los hallazgos fueron revelados por el investigador de privacidad y seguridad Samy Kamkar durante el fin de semana.

La técnica se llevó a cabo utilizando un enrutador NetGear Nighthawk R7000 con la versión 2.6.36.4 del kernel de Linux.

Determinación de los límites de los paquetes

La traducción de direcciones de red ( NAT ) es el proceso en el que un dispositivo de red, como un firewall, reasigna un espacio de direcciones IP a otro modificando la información de direcciones de red en el encabezado IP de los paquetes mientras están en tránsito.

La principal ventaja es que limita la cantidad de direcciones IP públicas utilizadas en la red interna de una organización y mejora la seguridad al permitir que una única dirección IP pública se comparta entre varios sistemas.

NAT Slipstreaming funciona aprovechando la segmentación de paquetes TCP e IP para ajustar de forma remota los límites del paquete y usándolo para crear un paquete TCP / UDP comenzando con un método SIP como REGISTER o INVITE.

bypass de firewall

SIP  es un protocolo de comunicaciones que se utiliza para iniciar, mantener y finalizar sesiones multimedia en tiempo real para aplicaciones de mensajería, video y voz.

En otras palabras, se puede utilizar una combinación de segmentación de paquetes y solicitudes SIP de contrabando en HTTP para engañar a NAT ALG para que abra puertos arbitrarios para conexiones entrantes al cliente.

Para lograr esto, se envía una solicitud HTTP POST grande con una ID y un formulario web oculto que apunta a un servidor de ataque que ejecuta un rastreador de paquetes, que se utiliza para capturar el tamaño de MTU, tamaño de paquete de datos, tamaños de encabezado TCP e IP, entre otros. otros, y posteriormente transmitir los datos de tamaño al cliente víctima a través de un mensaje POST separado.

Además, también abusa de una función de autenticación en TURN (Traversal Using Relays around NAT), un protocolo que se usa junto con NAT para retransmitir medios de cualquier par a otro cliente en la red, para llevar a cabo un desbordamiento de paquetes y causar paquetes IP. fragmentar.

La idea, en pocas palabras, es desbordar un paquete TCP o UDP rellenando (con caracteres «^») y forzarlo a dividirse en dos para que el paquete de datos SIP esté al comienzo del límite del segundo paquete.