Aviso: NAT Slipstreaming

Visão Geral

Um ataque recentemente identificado  conhecido como NAT Slipstreaming pode potencialmente ignorar as proteções do navegador para comprometer um dispositivo do usuário final e, em seguida, utilizar Network Address Translation (NAT) em um firewall ou roteador para permitir a investigação remota de portas e serviços no sistema da vítima atrás do firewall ou roteador.

Embora esse ataque não envolva uma vulnerabilidade de firewall e não exija um patch, existem algumas práticas recomendadas que recomendamos para reduzir a exposição potencial a esses tipos de ataque, em particular, aplicar patch no software do navegador.

Detalhes

O ataque é desencadeado ao visitar um site comprometido que contém JavaScript malicioso criado para explorar esse ataque no dispositivo do usuário. Ele extrai o endereço IP da vítima e, em seguida, tenta aplicar um overflow no firewall e causar a segmentação do pacote ao implantar um pacote SIP que ativa o rastreamento de conexão do Application Level Gateway (ALG) resultando na abertura das portas TCP/UDP definidas no pacote. Isso permite que o invasor faça um NAT e tente conectar-se a qualquer uma das portas definidas no sistema da vítima, tais como FTP, RDP, etc .

Recomendações

Existem várias práticas recomendadas para proteção contra NAT Slipstreaming em vários pontos da cadeia de ataque:

Web Protection

Visto que o ataque é iniciado a partir de um site comprometido ou malicioso, certifique-se de que o seu Sophos XG Firewall ou produto UTM tenha a proteção da Web ativada para bloquear sites maliciosos que tentam usar este ou outros ataques. A proteção Web da Sophos é muito eficaz na identificação e bloqueio de sites maliciosos para interromper com eficácia esses tipos de ataques na origem.

Browser Protection

Os principais fornecedores de navegadores implementaram proteção para bloquear as conexões de porta usadas neste ataque nas próximas versões. Certifique-se de aplicar imediatamente todos os patches disponíveis assim que forem disponibilizados. Detalhes:

Desativando serviços desnecessários

Se o SIP (VoIP) não estiver sendo usado, existe uma opção para desabilitar o módulo SIP no firewall que  bloqueia uma etapa essencial do ataque. Instruções: 

Se o suporte SIP (VoIP) for necessário, sugerimos negar o tráfego na porta TCP/UDP 5060/5061 de saída que é utilizada por este ataque.

Proteção IPS

A Sophos publicou recentemente novas assinaturas IPS para XG Firewall e Cyberoam para detectar e bloquear este método de ataque. Para clientes que usam SIP, é recomendado que proteções IPS sejam aplicadas ao tráfego de WAN que inclua essas novas assinaturas (SIDs 2304467 e 2304468). 

Protegendo serviços de rede em dispositivos clientes

Todos os serviços de rede em dispositivos clientes, como RDP, SSH, FTP e outros, devem ser revisados regularmente e eliminados, a menos que seja absolutamente necessário para reduzir a área de superfície de ataque. Todos os serviços essenciais devem ser protegidos com IPS e senhas fortes que são alteradas regularmente e gerenciadas por um gerenciador de senhas adequado. 

Resumo

Siga as práticas recomendadas de segurança típicas para proteger sua rede desses tipos de ataques:

  • Proteja seu tráfego da web com tecnologia de proteção da web no firewall e no endpoint para usuários móveis;
  • Mantenha os sistemas operacionais e  navegadores atualizados com os patches mais recentes;
  • Revise e elimine quaisquer serviços de rede desnecessários em execução em máquinas clientes e seu firewall e certifique-se de que as portas e protocolos desnecessários estejam desativados;
  • Certifique-se de que todos os serviços de rede necessários sejam protegidos com senhas fortes ou MFA sempre que possível;
  • Certifique-se de que todo o tráfego WAN seja adequadamente protegido por IPS para identificar e bloquear exploits;

Informação relacionada

Pesquisa de ataque de Slipstreaming de NAT

do Original em: https://community.sophos.com/b/security-blog/posts/advisory-nat-slipstreaming

Newsletter

Insira seu endereço de e-mail abaixo para receber novidades

Deixar uma resposta

Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124