NAT Slipstreaming 2.0: un nuevo ataque expone los dispositivos de red internos

En noviembre pasado hemos alertado sobre una técnica llamada NAT Slipstreaming, que consiste en una vulnerabilidad que elude protecciones de NAT/Firewall y permite el acceso a servicios TCP/UDP. Este ataque estaba basado en JavaScript y consistía en atraer a un usuario para que visitara un sitio malicioso para eludir las restricciones de puerto basadas en el navegador y permitir al atacante acceder de forma remota a los servicios TCP/UDP en el dispositivo de la víctima. Esto ocurría incluso en aquellos que estaban protegidos por un firewall o NAT.

Según las últimas investigaciones, descubiertas y publicadas por un equipo de seguridad, la nueva variante diseñada se trata del ataque NAT Slipstreaming que se puede aprovechar para comprometer y exponer cualquier dispositivo en una red interna. Estas vulnerabilidades han sido identificadas como CVE-2020-16043 y CVE-2021-23961, y se basan en la técnica previamente revelada para eludir routers y firewalls y que puede llegar a cualquier dispositivo no administrado dentro de la red interna desde Internet. Las diferencias con las nuevas variantes se reducen al uso de otros protocolos, que son procesados por la ALG (Application Level Gateways).7

Una función llamada traducción de direcciones de red (NAT), está disponible en casi todos los enrutadores y firewalls que permite que los dispositivos que usan direcciones IP privadas no enrutables aún se conecten a Internet. Esta función permite que el enrutador rastree las solicitudes a Internet desde dispositivos internos y realice la solicitud en su propia dirección IP pública. Cuando la computadora remota responde, automáticamente reenviará la respuesta al dispositivo interno que hizo la solicitud original.

La variante descubierta extiende el ataque de la anterior

Los atacantes pueden engañar al NAT de tal manera que creará rutas entrantes a cualquier dispositivo en la red interna, y no solo al dispositivo víctima que hizo clic en el enlace.

El ataque permite al atacante enviar cualquier dato a cualquier puerto de usuario, independientemente del uso del rango de direcciones internas de la víctima en el sistema de la víctima, el acceso a la red desde la cual se cierra directamente y es posible solo a través de un traductor de direcciones.

El problema radica en el H.323 ALG. A diferencia de la mayoría de los otros ALG, H.323 permite a un atacante crear un agujero en el NAT/firewall para cualquier IP interna, en lugar de solo la IP de la víctima que hace clic en el enlace malicioso.

Esto permite al atacante alcanzar ALG adicionales, como los ALG FTP e IRC (puertos 21, 6667) que antes eran inalcanzables debido a la lista de puertos restringidos. El FTP ALG se usa ampliamente en NAT/firewalls.

El ataque NAT Slipstream 2.0 es una especie de falsificación de solicitud entre protocolos que permite que servidores de Internet maliciosos ataquen equipos en una red privada detrás de un dispositivo NAT. El ataque depende de poder enviar tráfico al puerto 1720 (H.323).

Cuando se reveló la vulnerabilidad por primera vez, Google declaró que bloquearía el acceso HTTP y HTTPS a los puertos TCP 5060 y 5061 para protegerse contra esta vulnerabilidad en el lanzamiento de Chrome 87.

Recientemente Google anunció que Chrome también bloquearía el acceso HTTP, HTTPS y FTP a los puertos 69, 137, 161, 1719, 1720, 1723 y 6566 TCP.

Si aloja un sitio web que se ejecuta en estos puertos, debe cambiar a un puerto diferente para permitir que los visitantes continúen accediendo a su aplicación.

El problema ya se ha solucionado en versiones recientes de Firefox 85, Chrome 87.0.4280.141, Edge 87.0.664.75 y Safari 14.0.3.

El ataque consta de tres etapas:

En la primera etapa, el atacante obtiene información sobre la dirección interna del usuario, que se puede determinar mediante WebRTC o, si WebRTC está deshabilitado, mediante ataques de fuerza bruta con la medición del tiempo de respuesta al solicitar una imagen oculta.
En la segunda etapa, se determinan los parámetros de fragmentación de paquetes, para lo cual el código JavaScript ejecutado en el navegador de la víctima genera una solicitud HTTP POST grande (que no cabe en un paquete) al servidor del atacante, utilizando un puerto de red no estándar number para iniciar la configuración de los parámetros de segmentación de TCP y el tamaño de MTU en la pila de la víctima de TCP.
En la tercera etapa, el código JavaScript genera y envía una solicitud HTTP especialmente seleccionada (o TURN para UDP) al puerto TCP 1720 (H.323) del servidor atacante, que, después de la fragmentación, se dividirá en dos paquetes: el primero incluye Encabezados HTTP y una parte de los datos, y el segundo forma un paquete H.323 válido, que contiene la IP interna de la víctima.

Dispositivos vulnerables que podrían estar potencialmente expuestos

La capacidad de alcanzar dispositivos sin interacción humana significa que los atacantes pueden alcanzar no solo computadoras de escritorio, sino también otros dispositivos que normalmente no tienen operadores humanos: dispositivos no administrados como impresoras, controladores industriales, accesorios Bluetooth, cámaras IP, sensores, iluminación inteligente y más. Todos ellos podrían explotarse una vez que se engañe al NAT/firewall para que abra el tráfico de red al dispositivo de la víctima.

Impacto

El impacto del ataque sobre estos puede ser severo, desde la denegación de servicio (DoS) hasta un ataque de ransomware completo.

Recomendaciones

Aplicar los parches de seguridad de los navegadores:
- Chrome de Google: Chrome v87.0.4280.141
- Firefox de Mozilla: Firefox v85.0
- Safari de Apple: Safari v14.0.3
- Edge de Microsoft
Aplicar las recomendaciones de: NAT Slipstreaming
Aplicar seguridad a los dispositivos físicos:
- No permitir el uso por parte de personas no autorizadas
- Usar contraseñas robustas
- No usar memorias usb desconocidas
Aplicar las últimas actualizaciones de seguridad de los dispositivos utilizados, que se encuentren disponibles en los sitios web oficiales de los fabricantes.

Referencias