NAT Slipstreaming 2.0: un nuevo ataque expone los dispositivos de red internos

Hace unos meses hablamos de NAT Slipstreaming, una técnica que permite a los atacantes evitar el firewall y acceder de forma remota a un servicio TCP/UDP. Este problema podría comprometer seriamente la seguridad. Consistía básicamente en enviar un enlace malicioso y, una vez abierto, activaría una puerta a cualquier puerto. En este artículo nos hacemos eco de NAT Slipstreaming 2.0, un nuevo ataque que podría comprometer las redes internas.

NAT Slipstreaming 2.0, el nuevo ataque que compromete redes internas

Se trata de una variante diseñada del ataque NAT Slipstreaming que se puede aprovechar para comprometer y exponer cualquier dispositivo en una red interna, según las últimas investigaciones. Este descubrimiento ha sido publicado por la empresa de seguridad de IoT empresarial Armis. El nuevo ataque, registrado como CVE-2020-16043 y CVE-2021-23961, se basa en la técnica previamente revelada para eludir routers y firewalls y llegar a cualquier dispositivo no administrado dentro de la red interna desde Internet.

El ataque original fue revelado por primera vez por el investigador de seguridad Samy Kamkar a finales de octubre de 2020. Este ataque estaba basado en JavaScript y consistía en atraer a un usuario para que visitara un sitio malicioso para eludir las restricciones de puerto basadas en el navegador y permitir al atacante acceder de forma remota a los servicios TCP/UDP en el dispositivo de la víctima. Esto ocurría incluso en aquellos que estaban protegidos por un firewall o NAT.

Hay que indicar que unas semanas después de detectarse este problema surgieron mitigaciones para los principales navegadores como Google Chrome, Mozilla Firefox o Safari. Ahora los investigadores indican que la nueva técnica, NAT Slipstreaming 2.0, podría suponer un mayor riesgo al permitir que los atacantes expongan dispositivos ubicados en redes internas directamente a Internet.

Crear o comprar malware

Muchos dispositivos vulnerables

Son muchos los dispositivos vulnerables que podrían estar potencialmente expuestos. Podemos incluir impresoras, cámaras IP y otros controladores de red. Todos ellos podrían explotarse una vez que se engañe al NAT/firewall para que abra el tráfico de red al dispositivo de la víctima.

Los investigadores de seguridad que han descubierto esta nueva variante indican que el uso el nuevo ataque NAT Slipstreaming para acceder a este tipo de interfaces desde Internet, puede resultar en ataques sofisticados, como puede ser una amenaza de ransomware.

Básicamente podemos decir que NAT Slipstreaming permite a un pirata informático eludir NAT/firewall y acceder de forma remota a cualquier servicio TCP/UDP vinculado a un equipo de la víctima como resultado de que haya visitado un sitio web infectado con malware especialmente diseñado para este propósito.

El código JavaScript malicioso que se ejecuta en el navegador de la víctima extrae la dirección IP interna y aprovecha la segmentación de paquetes TCP/IP para crear modelos TCP / UDP y, posteriormente, crear un paquete de Protocolo de inicio de sesión (SIP) que contiene la dirección IP interna dentro de un Solicitud de salida HTTP POST a través del puerto TCP 5060.

Los investigadores indican que esto se consigue estableciendo cuidadosamente el valor de una conexión TCP controlada por un pirata informático desde el navegador de la víctima al servidor de un atacante, de modo que un segmento TCP en medio de la solicitud HTTP sea completamente controlado por el atacante.

NAT Slipstreaming 2.0 es similar al ataque mencionado anteriormente en que utiliza el mismo enfoque pero se basa en el protocolo VoIP H.323 en lugar de SIP para enviar múltiples solicitudes de recuperación al servidor del atacante en el puerto H.323 (1720). Esto permite al atacante iterar a través de un rango de direcciones IP y puertos, y abrir cada uno de ellos a Internet.

Os dejamos un artículo con consejos para mejorar la seguridad física de los dispositivos.