NAT Slipstreaming 2.0 ставит под удар все устройства во внутренней сети

Татьяна Никитина 29 Января 2021 - 09:52

...

NAT Slipstreaming 2.0 ставит под удар все устройства во внутренней сети

Новый вариант PoC-атаки NAT Slipstreaming позволяет открыть интернет-доступ к любому сетевому устройству, находящемуся за файрволом или преобразователем сетевых адресов (NAT). Злоумышленнику нужно будет лишь заманить пользователя на сайт с вредоносным JavaScript-сценарием. В случае успеха он сможет нарушить нормальную работу сети и даже внедрить в нее зловреда — к примеру, шифровальщика.

Первоначальная версия NAT Slipstreaming тоже предполагает использование JavaScript-кода и открывает возможность для обхода политик безопасности браузера (CVE-2020-16043), а также специализированных средств защиты внутренней сети.

Отрабатывая в браузере жертвы, вредоносный скрипт в фоновом режиме отправляет запрос на сервер злоумышленника. Эти пакеты проходят через NAT / файрвол и возвращают ответ, способный ввести в заблуждение NAT-транслятор: при парсинге тот обнаруживает мошеннический пакет SIP, сигнализирующий о намерении веб-приложения установить контакт с источником запроса.

В таких случаях NAT на лету добавляет правило, разрешающее повторное соединение, и подключает соответствующий модуль ALG (application level gateway, шлюз прикладного уровня). В итоге автор атаки сможет получить удаленный доступ к сервисам TCP/UDP целевого устройства на порту 5060 или 5061.

После публикации PoC-эксплойта разработчики Chrome, Safari, Firefox и Microsoft Edge выпустили патчи, вводящие блокировку портов, используемых NAT Slipstreaming. Однако впоследствии выяснилось, что эти меры лишь отчасти решили проблему.

Новый вариант NAT Slipstreaming (2.0) расширяет возможности потенциального злоумышленника, позволяя получить интернет-доступ ко всем сетевым устройствам за NAT или защитным экраном. Принципиальная схема атаки сохранилась, единственным важным отличием является использование VoIP-протокола стандарта H.323 вместо SIP.

Такая замена позволяет использовать JavaScript для отправки на подставной сервер множественных запросов FETCH на порту 1720 (браузеры его не блокируют). Поскольку H.323 предусматривает переадресацию телефонных вызовов, автор атаки имеет возможность путем манипуляций с ответами сервера заставить NAT открыть доступ к любому IP-адресу во внутренней сети, притом на нужном порту.

Атака NAT Slipstreaming 2.0 особенно опасна для устройств, админ-интерфейс которых слабо защищен или вовсе не требует аутентификации, — офисных принтеров, промышленных контроллеров, IP-камер.

К сожалению, патчинг браузеров в данном случае не способен кардинально решить проблему. Корнем зла, по словам авторов NAT Slipstreaming 2.0, является ненадежная реализация NAT. Эта технология создавалась в те времена, когда интернет-сообщество больше волновал грядущий дефицит IPv4-адресов, чем вопросы обеспечения безопасности. Современные NAT-трансляторы по-прежнему используют морально устаревшую систему ALG, наличие которой открывает возможность для обхода защиты.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Июня 2026 - 20:54

Малый и средний бизнес Корпорации Контроль привилегированных пользователей (PAM) АйТи БАСТИОН ГК «Солар»

Российский рынок PAM упёрся в потолок: 5,4 млрд рублей и борьба за МСБ

Российский рынок PAM-систем, похоже, добрался до потолка. По итогам 2025 года его объём составил 5,4 млрд рублей, однако дальнейший бурный рост, которым отрасль жила последние годы, начинает замедляться. Такие выводы содержатся в исследовании компании Piccard, подготовленном по заказу разработчика «АйТи Бастион».

Под PAM (Privileged Access Management) понимаются системы управления привилегированным доступом — решения, которые контролируют действия администраторов, подрядчиков и других пользователей с расширенными правами в корпоративной инфраструктуре.

По оценке аналитиков, из общего объёма рынка около 3,8 млрд рублей пришлось на выручку разработчиков, а ещё 1,6 млрд рублей заработали интеграторы, занимающиеся поставкой и внедрением таких решений.

Главный вывод исследования — рынок достиг стадии насыщения. Основные заказчики последних лет, крупный бизнес и государственные организации, уже успели внедрить PAM-системы в рамках программ импортозамещения. Поэтому прежних темпов роста ждать становится всё сложнее.

Лидером рынка остаётся компания «АйТи Бастион» с платформой СКДПУ НТ. По данным исследования, её доля составляет 47%. Следом идут Индид с 26% рынка и Солар с 10%.

В Piccard прогнозируют, что в 2026 году рынок может даже сократиться. Среди причин называют замедление программ технологической независимости, охлаждение экономики и сокращение ИТ-бюджетов.

Однако полностью ставить крест на росте аналитики не спешат. Новым источником спроса может стать малый и средний бизнес. Опрос представителей МСБ показал, что компании всё чаще задумываются о контроле привилегированного доступа при работе с подрядчиками, защите собственных разработок и выполнении требований крупных заказчиков в области информационной безопасности.

Правда, у небольших компаний свои требования. Если крупный бизнес часто готов платить за сложные многофункциональные платформы, то МСБ ждёт от PAM-систем простоты внедрения, надёжности и разумной стоимости без набора избыточных возможностей.

Таким образом, после нескольких лет активного роста рынок PAM вступает в новую фазу. Теперь борьба за клиентов будет идти уже не столько между проектами импортозамещения, сколько за внимание малого и среднего бизнеса.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!