Google部署Chrome缓解措施来抵御新的 NAT Slipstreaming 攻击
Lasted 2021-02-01 09:51:21
谷歌工程师宣布,谷歌已经在Chrome网络浏览器中阻止了八个额外的端口,以防止名为NAT Slipstreaming的新攻击。
最初的 NAT Slipstreaming 攻击于2020年10月31日由著名安全研究员Samy Kamkar首次公开。
这种攻击是通过诱使用户访问恶意网站来进行的,该网站上的JavaScript代码将绕过防火墙和网络地址转换(NAT)表提供的防御措施,直接建立与受害者设备的连接。
攻击者可能滥用此与用户系统的连接,对用户的设备发起攻击。
NAT Slipstreaming攻击的初始版本滥用了会话初始协议(SIP)协议,以通过端口5060和5061与内部网络上的设备建立这些针孔连接。
攻击公开后两周,谷歌通过阻止Chrome 87中的这两个端口来阻止Kamkar的发现,以防止攻击者滥用此技术,该浏览器制造商认为这是一种严重的威胁,易于滥用。
几周后,Apple和Mozilla还在Safari和Firefox内部发布了类似的模块。
发现了新的 NAT Slipstreaming 攻击变种
但是上周早些时候,物联网安全公司的安全研究人员宣布,他们与Kamkar合作,使用名为NAT Slipstreaming 2.0的新版本扩展了原始攻击。
此新版本取代了H.323多媒体协议上的SIP和piggybacks,可在内部网络内部打开相同的隧道并绕过防火墙和NAT表。
Armis研究人员说,NAT Slipstreaming攻击的2.0变种比第一个变种更加危险,因为它允许对LAN内部的其他设备(而不仅仅是用户)进行基于Internet的攻击。
需封锁的端口69、137、161、1719、1720、1723、6566、10080
谷歌今天早些时候表示,它将阻止与H.323协议使用的端口1720的连接,但也阻止其他七个他们认为也可能以相同方式滥用NAT Slipstreaming攻击的其他类似变化的端口。
其他七个端口分别是69、137、161、1719、1723、6566和10080。
谷歌表示,通过这些端口的任何HTTP,HTTPS或FTP连接现在都将失败。
根据Chrome功能状态报告,使用87.0.4280.117及更高版本的Chrome版本的任何用户都已激活该阻止功能。
Firefox和Microsoft的Edge浏览器还部署了针对NAT Slipstreaming 2.0攻击的修复程序。 Firefox补丁已于本周早些时候在Firefox 85中作为CVE-2021-23961交付,而Edge修补程序作为CVE-2020-16043的修补程序发布。