Новый вариант PoC-атаки NAT Slipstreaming позволяет открыть интернет-доступ к любому сетевому устройству, находящемуся за файрволом или преобразователем сетевых адресов (NAT). Злоумышленнику нужно будет лишь заманить пользователя на сайт с вредоносным JavaScript-сценарием. В случае успеха он сможет нарушить нормальную работу сети и даже внедрить в нее зловреда — к примеру, шифровальщика.
Первоначальная версия NAT Slipstreaming тоже предполагает использование JavaScript-кода и открывает возможность для обхода политик безопасности браузера (CVE-2020-16043), а также специализированных средств защиты внутренней сети.
Отрабатывая в браузере жертвы, вредоносный скрипт в фоновом режиме отправляет запрос на сервер злоумышленника. Эти пакеты проходят через NAT / файрвол и возвращают ответ, способный ввести в заблуждение NAT-транслятор: при парсинге тот обнаруживает мошеннический пакет SIP, сигнализирующий о намерении веб-приложения установить контакт с источником запроса.
В таких случаях NAT на лету добавляет правило, разрешающее повторное соединение, и подключает соответствующий модуль ALG (application level gateway, шлюз прикладного уровня). В итоге автор атаки сможет получить удаленный доступ к сервисам TCP/UDP целевого устройства на порту 5060 или 5061.
После публикации PoC-эксплойта разработчики Chrome, Safari, Firefox и Microsoft Edge выпустили патчи, вводящие блокировку портов, используемых NAT Slipstreaming. Однако впоследствии выяснилось, что эти меры лишь отчасти решили проблему.
Новый вариант NAT Slipstreaming (2.0) расширяет возможности потенциального злоумышленника, позволяя получить интернет-доступ ко всем сетевым устройствам за NAT или защитным экраном. Принципиальная схема атаки сохранилась, единственным важным отличием является использование VoIP-протокола стандарта H.323 вместо SIP.
Такая замена позволяет использовать JavaScript для отправки на подставной сервер множественных запросов FETCH на порту 1720 (браузеры его не блокируют). Поскольку H.323 предусматривает переадресацию телефонных вызовов, автор атаки имеет возможность путем манипуляций с ответами сервера заставить NAT открыть доступ к любому IP-адресу во внутренней сети, притом на нужном порту.
Атака NAT Slipstreaming 2.0 особенно опасна для устройств, админ-интерфейс которых слабо защищен или вовсе не требует аутентификации, — офисных принтеров, промышленных контроллеров, IP-камер.
К сожалению, патчинг браузеров в данном случае не способен кардинально решить проблему. Корнем зла, по словам авторов NAT Slipstreaming 2.0, является ненадежная реализация NAT. Эта технология создавалась в те времена, когда интернет-сообщество больше волновал грядущий дефицит IPv4-адресов, чем вопросы обеспечения безопасности. Современные NAT-трансляторы по-прежнему используют морально устаревшую систему ALG, наличие которой открывает возможность для обхода защиты.
Глава СПЧ Валерий Фадеев уточнил своё отношение к VPN после резонанса вокруг его слов о пользователях, которые ищут, что говорит враг. По его словам, эту фразу вырвали из контекста.
На марафоне «Знание. Первые» Фадеев заявил, что VPN является частью большого интернета и полностью отключать такие технологии нельзя.
Через VPN-каналы работают банки, бизнес и связь с зарубежными партнёрами, поэтому резкие ограничения могут привести к экономическим проблемам.
При этом глава СПЧ разделяет использование VPN для дела и доступ к заблокированным СМИ. Своё отношение к «Медузе» и «Дождю», которые в России признаны иноагентами и нежелательными организациями, он не изменил: по словам Фадеева, это пропаганда и точка зрения врага.
Фадеев также прокомментировал реакцию СМИ на свои слова. Он заявил, что журналисты часто стараются упаковать сложную мысль в одно наглое и дерзкое предложение, которое затем расходится по Сети.
Заявление прозвучало на фоне обсуждения возможной платы за зарубежный VPN-трафик в мобильных сетях. Такая инициатива, по данным СМИ, сейчас прорабатывается Минцифры. При этом интерес к VPN растёт: в марте российские пользователи Google Play скачали VPN-приложения 9,2 млн раз, что в 14 раз больше, чем годом ранее.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
