Chrome bude blokovat porty 554 a 10080 kvůli zranitelnosti NAT Slipstreaming

9. 4. 2021

Autor: Google

Zranitelnost NAT Slipstreaming, objevená loni na podzim, spočívá v možnosti připojit se zvenku na libovolný TCP nebo UDP port zařízení za NATem i firewallem, pokud oběť za NATem navštíví škodlivou stránku.

Jednoduchou obranou je blokování určitých portů v prohlížeči pro HTTP, HTTPS a FTP přístup. Chrome 87 již blokuje porty 5060 a 5061. V lednu se přidaly porty 69, 137, 161, 1719, 1720, 1723 a 6566. Začátkem března byl doplněn port 554 a nyní se přidává i 10080. Pokud některý z těchto portů použijete, uvidíte ERR_UNSAFE_PORT. Firefox již porty včetně 10080 blokuje, u Safari se očekává blokovaní 10080 již brzy.

(zdroj: bleepingcomputer, bleepingcomputer)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

9. 4. 2021 14:43

RDa

Ja mel za to, ze na bezne NAT krabicce se pamatuje z jakeho hostu a portu dotaz prisel.. aby bylo mozne na nej provazat odpovedi. Jak tedy funguje ta komunikace kamkoliv?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 4. 2021 14:51

Křišťan Surname

Za prvním odkazem ve zprávičce je docela jasná animace, která to vysvětluje :-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 4. 2021 15:51

ja.

Hole punching predpokladá, resp. využíva, že to tak nie je. Preto nefunguje tam, kde NAT robí to, čo píšete.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 4. 2021 16:25

J ouda (neregistrovaný)

Jak tam koukám, tak na velmi rychlý (a nejspíš ne zcela přesný) první pohled využívají toho že linux netfilter nesestavuje zpátky celý stream z fragmentovaných paketů (tam by to neprošlo) takže to pro povolení portů parsuje útočníkem dodaný payload, ne samotný paket.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 4. 2021 19:28

PF

Přesně. Proto je důležité si všimnout poznámky "This attack requires the NAT/firewall to support ALG (Application Level Gateways),".
Takže stačí vypnout ALG, který stejně dělá jen neplechu a je klid.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 4. 2021 2:49

Michal Kubeček

Ono je těch předpokladů trochu víc. Nejen že by příslušný conntrack helper musel být natažený, pokud není povolený automatic helper assignment (volba existuje od 3.5 a od 4.7 je defaultně vypnutá), budou muset být navíc nastavená odpovídající pravidla, aby ten helper příslušné pakety opravdu zpracovával a nastavoval expectations.

S těmi fragmenty to také není tak jednoduché, protože pokud je aktivní connection tracking (a na tom ten útok závisí), fragmentovaný paket se pro netfilter složí (u IPv4 skutečně, u IPv6 virtuálně) a netfilter tak pracuje s celým paketem, ne s jednotlivými fragmenty. Takže tvrzení z toho článku, že porty se kontrolují jen u prvního fragmentu, už docela dlouho neplatí.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 4. 2021 20:02

RDa

Takze to nekdo preoptimalizoval a pak to tak dopada.. viz pristup tohoto pana:

https://forum.root.cz/index.php?topic=24461.0

Samozrejme mu tam radim, at otestuje veskere hlavicky - ten NAT slipstreaming mi prijde prave jako bug tohoto druhu.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 4. 2021 15:27

LD

Já o něčem podobném četl před tak 10 lety, ale když jsem to pak později hledal už jsem nenašel ani zmínku a skoro jsem si říkal, že jsem si to jen vymyslel vzhledem k mé tehdejší neznalosti problematiky a vida, je tu rok 2021 a je to tady, dokonce tam má odkaz na článek z roku 2010, takže příjemné shledání po mnoha létech;)