NAT Slipstreaming 2.0 ставит под удар все устройства во внутренней сети

Татьяна Никитина 29 Января 2021 - 09:52

...

NAT Slipstreaming 2.0 ставит под удар все устройства во внутренней сети

Новый вариант PoC-атаки NAT Slipstreaming позволяет открыть интернет-доступ к любому сетевому устройству, находящемуся за файрволом или преобразователем сетевых адресов (NAT). Злоумышленнику нужно будет лишь заманить пользователя на сайт с вредоносным JavaScript-сценарием. В случае успеха он сможет нарушить нормальную работу сети и даже внедрить в нее зловреда — к примеру, шифровальщика.

Первоначальная версия NAT Slipstreaming тоже предполагает использование JavaScript-кода и открывает возможность для обхода политик безопасности браузера (CVE-2020-16043), а также специализированных средств защиты внутренней сети.

Отрабатывая в браузере жертвы, вредоносный скрипт в фоновом режиме отправляет запрос на сервер злоумышленника. Эти пакеты проходят через NAT / файрвол и возвращают ответ, способный ввести в заблуждение NAT-транслятор: при парсинге тот обнаруживает мошеннический пакет SIP, сигнализирующий о намерении веб-приложения установить контакт с источником запроса.

В таких случаях NAT на лету добавляет правило, разрешающее повторное соединение, и подключает соответствующий модуль ALG (application level gateway, шлюз прикладного уровня). В итоге автор атаки сможет получить удаленный доступ к сервисам TCP/UDP целевого устройства на порту 5060 или 5061.

После публикации PoC-эксплойта разработчики Chrome, Safari, Firefox и Microsoft Edge выпустили патчи, вводящие блокировку портов, используемых NAT Slipstreaming. Однако впоследствии выяснилось, что эти меры лишь отчасти решили проблему.

Новый вариант NAT Slipstreaming (2.0) расширяет возможности потенциального злоумышленника, позволяя получить интернет-доступ ко всем сетевым устройствам за NAT или защитным экраном. Принципиальная схема атаки сохранилась, единственным важным отличием является использование VoIP-протокола стандарта H.323 вместо SIP.

Такая замена позволяет использовать JavaScript для отправки на подставной сервер множественных запросов FETCH на порту 1720 (браузеры его не блокируют). Поскольку H.323 предусматривает переадресацию телефонных вызовов, автор атаки имеет возможность путем манипуляций с ответами сервера заставить NAT открыть доступ к любому IP-адресу во внутренней сети, притом на нужном порту.

Атака NAT Slipstreaming 2.0 особенно опасна для устройств, админ-интерфейс которых слабо защищен или вовсе не требует аутентификации, — офисных принтеров, промышленных контроллеров, IP-камер.

К сожалению, патчинг браузеров в данном случае не способен кардинально решить проблему. Корнем зла, по словам авторов NAT Slipstreaming 2.0, является ненадежная реализация NAT. Эта технология создавалась в те времена, когда интернет-сообщество больше волновал грядущий дефицит IPv4-адресов, чем вопросы обеспечения безопасности. Современные NAT-трансляторы по-прежнему используют морально устаревшую систему ALG, наличие которой открывает возможность для обхода защиты.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Июня 2026 - 18:04

Малый и средний бизнес Корпорации Управление процессами безопасной разработки (ASOC)Безопасная разработка приложений (DevSecOps) Security Vision

Low-Code в ИБ: как собирать процессы без разработки с нуля

Рынок информационной безопасности всё чаще требует не масштабных платформ на вырост, а быстрых и понятных решений для конкретных задач — обработки инцидентов, управления уязвимостями, интеграции средств защиты и автоматизации рутинных операций.

На этом фоне всё больше внимания привлекают платформы класса Low-Code / No-Code, позволяющие создавать рабочие процессы без полноценной разработки.

Один из таких примеров — платформа Security Vision, о которой рассказала руководитель отдела разработки продуктов компании Ева Беляева в эфире AM Talk.

По сути, Low-Code / No-Code позволяет собирать процессы из готовых блоков и логических схем вместо написания тысяч строк кода. Если специалист понимает, как выполняется задача вручную, он может перенести её логику в визуальный конструктор и автоматизировать процесс.

При этом разработчики никуда не исчезают. Для сложных интеграций и взаимодействия с конечными системами по-прежнему могут использоваться скрипты и программный код. Но значительная часть бизнес-логики переносится в визуальную среду, что заметно ускоряет внедрение новых решений.

В Security Vision такой подход используется сразу в двух направлениях. Первое — создание готовых ИБ-продуктов, включая решения для управления активами, уязвимостями и инцидентами. Второе — предоставление самой платформы заказчикам и партнёрам для самостоятельной разработки собственных решений.

Одним из главных преимуществ считается сокращение времени вывода продуктов на рынок. Вместо формирования полноценной команды разработчиков компания может обучить работе с платформой инженеров и аналитиков, а затем быстро запускать новые процессы и сервисы.

Есть и реальные кейсы. В одном из проектов заказчик отказался от коробочного решения и построил собственную систему на базе платформы Security Vision. Для этого потребовалась команда фактически из полутора специалистов — инженера и аналитика. На создание рабочего продукта ушло около шести месяцев.

Порог входа в платформу называют относительно невысоким. Быстрее всего её осваивают специалисты по информационной безопасности и разработчики. Базовое обучение занимает от двух недель до месяца, а программа стажировки для студентов рассчитана на три месяца.

В самой Security Vision считают, что будущее таких платформ — не просто в автоматизации отдельных задач, а в формировании целых экосистем решений. Чем больше процессов удаётся перевести из ручного режима в конструктор, тем быстрее бизнес получает результат и тем меньше зависит от длительных циклов классической разработки.

Подробнее читайте в нашей большой статье.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!