O Google bloqueou oito portas adicionais dentro do navegador Chrome para evitar uma nova variação de um ataque chamado NAT Slipstreaming. Foi o que anunciaram os engenheiros da empresa. O ataque NAT Slipstreaming original apareceu pela primeira vez em 31 de outubro de 2020. Ocorreo por meio de Samy Kamkar, um pesquisador de segurança.
O ataque funcionou atraindo usuários para um site malicioso. Nele, o código JavaScript estabeleceria uma conexão com o dispositivo da vítima diretamente. Assim, contornaria as defesas fornecidas por firewalls e tabelas de tradução de endereços de rede (NAT).
O invasor pode abusar dessa conexão com o sistema do usuário para lançar ataques a dispositivos localizados na rede interna da vítima.
A versão inicial do ataque NAT Slipstreaming abusou do protocolo Session Initiation Protocol (SIP). Dessa forma, estabelece essas conexões pinhole com dispositivos em redes internas através das portas 5060 e 5061.
Duas semanas depois que o ataque se tornou público, o Google respondeu à descoberta de Kamkar bloqueando essas duas portas no Chrome 87 para evitar que os invasores abusassem dessa técnica, que o fabricante do navegador considerou uma ameaça grave e fácil de abusar.
A Apple e a Mozilla também enviaram blocos semelhantes dentro do Safari e Firefox semanas depois.
Google implanta mitigações do Chrome contra novo ataque NAT Slipstreaming
Mas no início desta semana, pesquisadores de segurança da empresa de segurança IoT anunciaram que trabalharam com Kamkar para expandir o ataque original com uma nova versão que chamaram de NAT Slipstreaming 2.0.
Esta nova versão substitui SIP e piggybacks no protocolo multimídia H.323 para abrir os mesmos túneis dentro de redes internas e contornar firewalls e tabelas NAT.
Os pesquisadores da Armis disseram que a variante 2.0 do ataque NAT Slipstreaming era tão potente quanto a primeira. Isso permitiu a mesma classe de ataques com base na Internet em dispositivos normalmente acessíveis apenas de LANs internas.
Portas 69, 137, 161, 1719, 1720, 1723, 6566, 10080 a serem bloqueadas
Hoje cedo, o Google disse que iria bloquear as conexões para a porta 1720, usada pelo protocolo H.323. Da mesma forma, bloquearam sete outras portas para ataques do NAT Slipstreaming.
As outras sete portas eram 69, 137, 161, 1719, 1723, 6566 e 10080.
Quaisquer conexões HTTP, HTTPS ou FTP através dessas portas irão falhar agora, disse o Google hoje.
De acordo com um relatório de status de recurso do Chrome, o bloqueio já está ativo para qualquer usuário usando a versão do Chrome 87.0.4280.117 e posterior.
Parece que a atualização da lista de portas bloqueadas foi feita no servidor, sem a necessidade de fornecer uma atualização separada do Chrome para os usuários finais.
Do mesmo modo, os navegadores Firefox e Microsoft Edge também implantaram uma correção para o ataque NAT Slipstreaming 2.0. A correção do Firefox está no Firefox 85 do início desta semana como CVE-2021-23961. Por outro lado, a correção do Edge está como uma correção para CVE-2020-16043.
ZDNet
