Expertos en ciberseguridad reportaron la identificación de una nueva técnica de ataque. Permite a los ciberatacantes esquivar y romper el firewall o seguridad NAT y acceder de forma remota a cualquier servicio TCP/UDP en un sistema objetivo. Esto podría generar consecuencias muy negativas para las víctimas.
Este ataque de derivación de NAT o firewall permite a los hackers acceder a cualquier servicio TCP/UDP usando un ataque definido como NAT Slipstreaming. Este método implica enviar a la víctima un enlace a un sitio malicioso desde donde se activa la puerta de enlace para abrir cualquier puerto TCP/UDP de la víctima. De esta forma, esquivan las restricciones basadas en puertos del navegador.
El ataque explota el navegador de la víctima en conjunto con el mecanismo de seguimiento de conexión de Application Level Gateway (ALG), integrado en NAT, enrutadores y firewalls. Como consecuencia, genera una serie de conductas imprevistas para abusar del navegador.
NAT es el proceso en el que un dispositivo de red, por ejemplo, un firewall, reasigna un espacio de direcciones IP a otro dispositivo. De esta forma, modifica la información de la dirección de red en el encabezado IP de los paquetes mientras están en tránsito. La ventaja principal es que limita la cantidad de direcciones IP públicas utilizadas en la red interna de una empresa y mejora la seguridad. Además, permite que una única dirección IP pública sea compartida entre múltiples sistemas.
Los ciberatacantes utilizan la segmentación de paquetes TCP e IP para ajustar de forma remota los límites de los paquetes y usarlos para crear un paquete TCP/UDP comenzando con un método SIP. Este es un protocolo de comunicaciones usado para iniciar, mantener y finalizar sesiones multimedia en aplicaciones de comunicación remota.
Al momento de realizar el ataque utilizan una combinación de segmentación de paquetes y tráfico de solicitudes SIP en HTTP para engañar a NAT ALG. Así, abrirá arbitrariamente puertos para conexiones entrantes. Esto se puede lograr enviando una solicitud HTTP POST grande con un ID y un formulario web oculto que apunta a un servidor de ataque que ejecuta un rastreador de paquetes. Los datos afectados terminarán en posesión de los ciberatacantes mediante un mensaje POST separado.
Fuente: Noticias de Seguridad Informática
Para más información ingresar aquí.
Comentarios