Nuevo ataque podría permitir que ciberdelincuentes remotos apunten a dispositivos en redes internas

Una variante diseñada del ataque NAT Slipstreaming se puede aprovechar para comprometer y exponer cualquier dispositivo en una red interna, según las últimas investigaciones. Detallado por la firma de seguridad de IoT  Armis, el nuevo ataque (CVE-2020-16043 y CVE-2021-23961) se basa en la técnica previamente divulgada para evitar enrutadores y firewalls y llegar a cualquier […]

Una variante diseñada del ataque NAT Slipstreaming se puede aprovechar para comprometer y exponer cualquier dispositivo en una red interna, según las últimas investigaciones.

Detallado por la firma de seguridad de IoT  Armis, el nuevo ataque (CVE-2020-16043 y CVE-2021-23961) se basa en la técnica previamente divulgada para evitar enrutadores y firewalls y llegar a cualquier dispositivo no administrado dentro de la red interna desde Internet.

Vía HackerNews.

Los dispositivos vulnerables que podrían estar potencialmente expuestos como consecuencia de este ataque incluyen impresoras de oficina, controladores industriales, cámaras IP y otras interfaces no autenticadas que podrían explotarse una vez que el NAT / firewall sea engañado para abrir tráfico de red al dispositivo víctima.

“El uso de la nueva variante del ataque NAT Slipstreaming para acceder a este tipo de interfaces desde Internet, puede resultar en ataques que van desde una molestia hasta una sofisticada amenaza de ransomware”, dijeron los investigadores.

Google, Apple, Mozilla y Microsoft han lanzado parches para los navegadores Chrome ( v87.0.4280.141 ), Safari ( v14.0.3 ), Firefox ( v85.0 ) y Edge ( v87.0.664.75 ) para abordar los nuevos ataque.

Uso de paquetes H.323 para facilitar NAT Slipstreaming

En pocas palabras, NAT Slipstreaming permite que un mal actor eluda NAT / firewall y acceda de forma remota a cualquier servicio TCP / UDP vinculado a una máquina víctima como resultado de que el objetivo visite un sitio web infectado con malware especialmente diseñado para este propósito.

En particular, el código JavaScript malicioso que se ejecuta en el navegador de la víctima extrae la dirección IP interna y aprovecha la segmentación de paquetes TCP / IP para crear grandes balizas TCP / UDP y, posteriormente, contrabandear un paquete de Protocolo de inicio de sesión ( SIP ) que contiene la dirección IP interna dentro de un Solicitud de salida HTTP POST a través del puerto TCP 5060.