La nuova variante di attacco NAT Slipstreaming potrebbe consentire agli aggressori di aggirare NAT e firewall e raggiungere qualsiasi dispositivo non gestito all’interno della rete interna da Internet ed esporre quindi a Internet tutti i dispositivi di rete interni.
«I ricercatori di Armis Ben Seri e Gregory Vishnepolsky hanno scoperto una nuova variante alla tecnica di bypass NAT nota come NAT Slipstreaminge e hanno collaborato con il ricercatore di sicurezza Samy Kamkar (che originariamente ha rivelato la tecnica il 31 ottobre 2020) per comprendere meglio l’attacco e mitigarlo.
L’attacco originale NAT Slipstreaming si basa su una vittima all’interno di una rete interna che fa clic su un collegamento che porta al sito Web di un utente malintenzionato, il che a sua volta indurrà l’attaccante a ingannare il NAT della rete della vittima facendogli aprire un percorso in entrata (di un TCP o UDP porta) da Internet, al dispositivo vittima. La nuova variante estende questo attacco, per consentire all’attaccante di ingannare il NAT in modo tale da creare percorsi in entrata a qualsiasi dispositivo sulla rete interna, e non solo al dispositivo vittima che ha cliccato sul collegamento.
Ciò espone i dispositivi incorporati e non gestiti a un rischio maggiore, consentendo agli aggressori di esporre i dispositivi situati su reti interne, direttamente a Internet. L’esposizione di queste interfacce direttamente a Internet è un grave rischio per la sicurezza. Esempi inclusi:
- Una stampante per ufficio che può essere controllata tramite il protocollo di stampa predefinito o tramite il server Web interno.
- Un controllore industriale che utilizza un protocollo non autenticato per il monitoraggio e il controllo della sua funzione.
- Una telecamera IP che dispone di un server web interno che ne visualizza il feed, a cui è comunemente possibile accedere con le credenziali predefinite.
L’utilizzo della nuova variante dell’attacco NAT Slipstreaming per accedere a questi tipi di interfacce da Internet può provocare attacchi che vanno da un fastidio a una sofisticata minaccia ransomware».
“NAT Slipstreaming consente a un utente malintenzionato di accedere in remoto a qualsiasi servizio TCP / UDP associato a una macchina vittima, aggirando il NAT / firewall della vittima (controllo arbitrario del firewall pinhole), semplicemente dalla vittima che visita un sito Web”, riassume Samy.