Malafide hackers kunnen met NAT-slipstreaming 2.0 je volledige netwerk aanvallen

32 reacties
Inhoudsopgave
  1. 1. Je volledige netwerk kwetsbaar
  2. 32 reacties

Je volledige netwerk kwetsbaar

Verschillende beveiligingsonderzoekers (Samy Kamkar, Ben Seri en Gregory Vishnipolsky) hebben een kwetsbaarheid in het Network Adress Translation-protocol ontdekt waarmee kwaadwillenden elk apparaat binnen je netwerk kunnen aanvallen.

De aanvalsmethode is al in november 2020 gepubliceerd door Kamkar en werd nat-slipstreaming genoemd. De kwetsbaarheid bleek echter groter te zijn dan in eerste instantie werd aangenomen en een aangepaste versie is dit jaar gepubliceerd en wordt nat-slipstreaming 2.0 genoemd.

Nat-slipstreaming vindt plaats door slachtoffers naar een malafide website te lokken waar kwaadaardige JavaScript-code op draait. De code wordt uitgevoerd in de browser van het slachtoffer en zorgt ervoor dat verzoeken van de malafide hacker als verzoeken vanuit het lokale netwerk worden gezien. Hierdoor heeft de hacker volledige toegang tot alle services van de gehackte client. Nat-slipstreaming 2.0 breidt deze toegang uit naar elk intern ip-adres binnen het lokale netwerk.

De eerste methode maakte misbruik van een aangepast http post-verzoek dat probeert een sip-videoconferencingsessie op poort 5060 te starten. De sip-alg opent dan een externe poort voor het apparaat van het slachtoffer. Versie 2.0 van de aanval is gebaseerd op VoIP-protocol H.323 (dat sterk lijkt op SIP.WebRTC). De standaard zorgt ervoor dat browsers niet langer alleen databronnen van backend-servers op internet oproepen, maar ook real-time informatie uit de browsers van andere gebruikers in het lokale netwerk. In tegenstelling tot de meeste andere alg's, geeft H.323 aanvallers de mogelijkheid om gaten in de nat-firewall te maken voor elk intern IP-adres. In de resterende tijd kan de browser WebRTC TURN-verbindingen naar elke bestemmingspoort openen.

Om nat-slipstreaming in hun eigen netwerk tegen te gaan, moeten bedrijven twee basiselementen onderzoeken: de H.323 alg zelf en vervolgens de verschillende andere nat alg's die via een browser in het lokale netwerk bereikbaar zijn. De onderzoekers vonden grote verschillen in de implementatie en interactie van de verschillende componenten van de onderzochte nat-firewalls. Ze concluderen dat het alg-mechanisme zeer wijdverspreid is in firewalls en dat het probleem alleen kan worden opgelost als de leveranciers fundamentele wijzigingen aanbrengen in het ontwerp van hun producten.

Inmiddels zijn er steeds meer fabrikanten die alg’s volledig uit hun producten verwijderen, daarnaast hebben de makers van alle gangbare webbrowsers sinds januari 2021 lijsten met beperkte alg-poorten en de toegang tot WebRTC-verbindingen verminderd.

Dit zijn stappen in de goede richting, maar de onderzoekers vrezen dat er meer voor nodig zal zijn om lokale netwerken te beveiligen. Verouderde apparaten hebben nauwelijks eigen beveiligingsmechanismen om bescherming te bieden tegen deze aanval. Denk aan printers, webservers en zelfs opgeslagen documenten.

0
*