Una nueva versión de NAT slipstreaming permite a los ciberdelincuentes acceder fácilmente a dispositivos que no están conectados a Internet.
Desconectar dispositivos de Internet ya no es un plan sólido para protegerlos de atacantes remotos. Se ha descubierto una nueva versión de un conocido ataque de traducción de direcciones de red (NAT). Este permitiría a los atacantes remotos acceder a múltiples dispositivos de red internos, incluso si esos dispositivos no tienen acceso a Internet.
Según investigadores los atacantes pueden ejecutar un ataque simplemente convenciendo a un objetivo con acceso a Internet en la red para que haga clic en un enlace malicioso. A partir de ahí, los ciberdelincuentes pueden acceder a otros puntos finales no expuestos, incluidos dispositivos no administrados como controladores industriales, sin necesidad de más ingeniería social.
NAT es el proceso de conectar dispositivos de red internos a Internet externo. Básicamente, permite que un enrutador admita de forma segura que varios dispositivos conectados a él compartan una única dirección IP pública. En entornos empresariales, las funciones NAT se combinan con cortafuegos o firewalls para proporcionar una mejor ciberseguridad del perímetro.
En el ataque original de NAT slipstreaming, revelado y mitigado en noviembre, un atacante persuade a una víctima para que visite un sitio web especialmente diseñado; una víctima dentro de una red interna que hace clic en ella es llevada al sitio web del atacante. El sitio web, a su vez, engañará al NAT de la red de la víctima para que abra una ruta de entrada (de un puerto TCP o UDP) desde Internet al dispositivo de la víctima.
Para lanzar un ataque, el dispositivo de la víctima también debe tener habilitado un mecanismo de seguimiento de conexión de Application-Level Gateway (ALG). Generalmente está integrado en los NAT. NAT slipstreaming explota el navegador del usuario junto con ALG.
En el ataque, cuando un dispositivo de la víctima visita un sitio web controlado por un atacante, el código JavaScript que se ejecuta en el navegador de la víctima envía tráfico adicional al servidor del atacante, que atraviesa el NAT / firewall de la red.
Si, por ejemplo, el dispositivo de la víctima es un dispositivo Windows vulnerable a EternalBlue, el atacante puede acceder al puerto SMB en el dispositivo de la víctima utilizando esta técnica, desde Internet, explotar la vulnerabilidad y hacerse cargo del dispositivo.
La variante de enfoque recién descubierta simplemente extiende el ataque.
El problema radica en el H.323 ALG, donde se admite. A diferencia de la mayoría de los otros ALG, H.323 permite a un atacante crear un agujero en el NAT / firewall para cualquier IP interna, en lugar de solo la IP de la víctima que hace clic en el enlace malicioso.
Mientras tanto, los navegadores pueden establecer conexiones WebRTC TURN a través de TCP a cualquier puerto de destino. La lista de puertos restringidos de los navegadores no fue consultada por esta lógica y se omitió.
La capacidad de alcanzar dispositivos sin interacción humana significa que los atacantes pueden alcanzar no solo computadoras de escritorio, sino también otros dispositivos que normalmente no tienen operadores humanos: dispositivos no administrados como impresoras, controladores industriales, accesorios Bluetooth, cámaras IP, sensores, iluminación inteligente y más. El impacto del ataque sobre estos puede ser severo, desde la denegación de servicio (DoS) hasta un ataque de ransomware completo.
Los investigadores dieron el ejemplo de una impresora de oficina que se puede controlar mediante su protocolo de impresión predeterminado o mediante su servidor web interno. Al utilizar NAT slipstreaming, un atacante podría dejarlo fuera de línea o hacer que imprima documentos arbitrarios. Dependiendo de las funciones de la impresora, los ciberdelincuentes también podrían acceder a los documentos almacenados.
Agregaron que para llevar a cabo ese tipo de acciones, la interfaz recién expuesta tendría que ser insegura, como es el caso de otros objetivos. Por lo tanto, una vez que los atacantes establezcan una conexión web con el objetivo, necesitarán acceder a ese objetivo. Muchos dispositivos no administrados que no están conectados a Internet no requieren contraseñas o con frecuencia permanecen sin parchear.
Una vez que se rompe el perímetro, los atacantes son libres de explotar y hacerse cargo de dispositivos vulnerables y abiertos, e instalar herramientas de acceso remoto para futuros ataques.
Fuente: Threat Post
Para más información ingresar aquí.
Comentarios