Новый вариант PoC-атаки NAT Slipstreaming позволяет открыть интернет-доступ к любому сетевому устройству, находящемуся за файрволом или преобразователем сетевых адресов (NAT). Злоумышленнику нужно будет лишь заманить пользователя на сайт с вредоносным JavaScript-сценарием. В случае успеха он сможет нарушить нормальную работу сети и даже внедрить в нее зловреда — к примеру, шифровальщика.
Первоначальная версия NAT Slipstreaming тоже предполагает использование JavaScript-кода и открывает возможность для обхода политик безопасности браузера (CVE-2020-16043), а также специализированных средств защиты внутренней сети.
Отрабатывая в браузере жертвы, вредоносный скрипт в фоновом режиме отправляет запрос на сервер злоумышленника. Эти пакеты проходят через NAT / файрвол и возвращают ответ, способный ввести в заблуждение NAT-транслятор: при парсинге тот обнаруживает мошеннический пакет SIP, сигнализирующий о намерении веб-приложения установить контакт с источником запроса.
В таких случаях NAT на лету добавляет правило, разрешающее повторное соединение, и подключает соответствующий модуль ALG (application level gateway, шлюз прикладного уровня). В итоге автор атаки сможет получить удаленный доступ к сервисам TCP/UDP целевого устройства на порту 5060 или 5061.
После публикации PoC-эксплойта разработчики Chrome, Safari, Firefox и Microsoft Edge выпустили патчи, вводящие блокировку портов, используемых NAT Slipstreaming. Однако впоследствии выяснилось, что эти меры лишь отчасти решили проблему.
Новый вариант NAT Slipstreaming (2.0) расширяет возможности потенциального злоумышленника, позволяя получить интернет-доступ ко всем сетевым устройствам за NAT или защитным экраном. Принципиальная схема атаки сохранилась, единственным важным отличием является использование VoIP-протокола стандарта H.323 вместо SIP.
Такая замена позволяет использовать JavaScript для отправки на подставной сервер множественных запросов FETCH на порту 1720 (браузеры его не блокируют). Поскольку H.323 предусматривает переадресацию телефонных вызовов, автор атаки имеет возможность путем манипуляций с ответами сервера заставить NAT открыть доступ к любому IP-адресу во внутренней сети, притом на нужном порту.
Атака NAT Slipstreaming 2.0 особенно опасна для устройств, админ-интерфейс которых слабо защищен или вовсе не требует аутентификации, — офисных принтеров, промышленных контроллеров, IP-камер.
К сожалению, патчинг браузеров в данном случае не способен кардинально решить проблему. Корнем зла, по словам авторов NAT Slipstreaming 2.0, является ненадежная реализация NAT. Эта технология создавалась в те времена, когда интернет-сообщество больше волновал грядущий дефицит IPv4-адресов, чем вопросы обеспечения безопасности. Современные NAT-трансляторы по-прежнему используют морально устаревшую систему ALG, наличие которой открывает возможность для обхода защиты.
Красносельский суд Санкт-Петербурга вынес приговор по делу мошенников, опустошавших счета продавцов на Авито с помощью фишинговых ссылок. Станислав Виеру и Илья Мальков наказаны лишением свободы на 5,5 и 5 лет соответственно.
По версии следствия, Виеру в 2022 году создал ОПГ, в состав которой привлек Малькова. Свою вину в преступном сговоре оба осужденных так и не признали.
Действуя в рамках мошеннической схемы, подельники отыскивали на Авито объявления о продаже товаров (телефонов, электрогитар и проч.), связывались с продавцом и для уточнения деталей предлагали перенести общение в WhatsApp (принадлежит признанной в России экстремистской и запрещённой корпорации Meta).
В ходе переписки мнимый покупатель сообщал, что хочет заказать курьерскую доставку и просил указать имейл, на который можно выслать форму для получения перевода.
Присланная письмом ссылка вела на фишинговую страницу с логотипом и копией формы Авито. Введенные на ней банковские реквизиты попадали к мошенникам и в дальнейшем использовались для отъема денежных средств.
Выявлено 12 пострадавших, у которых украли от 4,6 тыс. до 52 тыс. рублей.
Схема обмана, по которой работали осужденные, напоминает сценарий «Мамонт», в рамках которого мошенники притворялись покупателями. Только Виеру и Мальков действовали проще — не тратили усилия на сбор информации о мишенях, помогающий сыграть роль убедительнее.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
