С помощью атак NAT Slipstreaming хакеры могут менять конфигурацию маршрутизаторов и получать доступ к приватным сетевым сервисам.
Google Chrome теперь блокирует доступ по HTTP, HTTPS и FTP к TCP-порту 10080 в целях предотвращения использования его в атаках NAT Slipstreaming 2.0.
В прошлом году исследовать безопасности Сами Камкар (Samy Kamkar) представил способ обхода механизма Network Address Translation (NAT) и межсетевых экранов, позволяющий получить удаленный доступ к сервисам TCP/UDP во внутренней сети. С помощью способа, названного NAT Slipstreaming, злоумышленники могли осуществлять широкий спектр кибератак, в том числе менять конфигурацию маршрутизаторов и получать доступ к приватным сетевым сервисам.
В январе 2021 года исследователи безопасности из Armis описали новый вариант данной атаки, NAT Slipstreaming 2.0, способный обходить защиту от NAT Slipstreaming и расширяющий зону действия злоумышленников.
Поскольку способ работал только на определенных портах, мониторинг которых осуществляет компонент NAT-маршрутизатора Application Level Gateway (ALG), производители браузеров стали блокировать уязвимые порты, не получающие большие объемы трафика. К примеру, Google Chrome блокирует доступ по FTP, HTTP и HTTPS к портам 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061 и 6566. С прошлой недели браузер также начал блокировать TCP-порт 10080 (Firefox блокирует его с ноября 2020 года).
Обсуждая необходимость блокировки данного порта, производители браузеров установили , что его использует ПО для резервного копирования Amanda и утилита VMWare vCenter, но блокировка их не затронет. Однако существует вероятность, что она может затронуть некоторых разработчиков, использующих TCP-порт 10080 как альтернативу порту 80.
«Это весьма привлекательный порт для HTTP, поскольку заканчивается на 80 и не требует привилегий суперпользователя для соединения на Unix-системах», - пояснил разработчик Google Chrome Адам Райс (Adam Rice).
Для того чтобы разработчики смогли продолжать использовать порт, Райс добавит корпоративные политики, позволяющие обходить блокировку.
Когда порт 10080 заблокирован, при попытке подключиться к нему появляется сообщение об ошибке «ERR_UNSAFE_PORT». Владельцам сайтов, размещенных на данном порту, стоит подумать об использовании другого порта, если они хотят, чтобы Google Chrome имел к ним доступ.
Гравитация научных фактов сильнее, чем вы думаете