Опубликован новый вариант атаки NAT slipstreaming,  позволяющей установить сетевое соединение от сервера атакующего к любому UDP или TCP порту на системе пользователя, открывшего подготовленную атакующем web-страницу в браузере. Атака даёт возможность атакующему отправить любые данные на любой порт пользователя, невзирая на применение на системе жертвы внутреннего диапазона адресов (192.168.x.x, 10.x.x.x), выход в сеть с которого напрямую закрыт и возможен только через транслятор адресов...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54480

• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Онаним, 22:51 , 28-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,АнДанте, 23:02 , 28-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Урри, 13:28 , 29-Янв-21
      • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,asdf, 15:50 , 30-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 23:45 , 28-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Онаним, 23:51 , 28-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 01:17 , 29-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 05:47 , 29-Янв-21
      • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Урри, 13:32 , 29-Янв-21
        • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 14:45 , 29-Янв-21
          • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,darkshvein, 00:11 , 01-Фев-21
        • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,darkshvein, 00:11 , 01-Фев-21
        • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Михаил, 14:19 , 05-Фев-21
      • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 14:43 , 29-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 19:31 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 19:29 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Атон, 14:33 , 30-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Онаним, 15:11 , 30-Янв-21
      • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Онаним, 15:12 , 30-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Annoynymous, 22:52 , 28-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 22:58 , 28-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 23:42 , 28-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Онаним, 23:50 , 28-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Гентушник, 01:43 , 29-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 01:59 , 29-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 14:46 , 29-Янв-21
      • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 14:59 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,pofigist, 17:43 , 29-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,онанимус, 00:19 , 29-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноньимъ, 01:21 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 02:55 , 29-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Ананоним, 05:47 , 29-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,СеменСеменыч777, 14:33 , 29-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 05:55 , 02-Фев-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,openwrtshnik, 02:24 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,NetRaider, 02:39 , 29-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Иноагент, 15:05 , 29-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Ivan_83, 04:29 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 07:39 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 09:45 , 29-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Ivan_83, 00:25 , 30-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 05:20 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 10:07 , 29-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 14:54 , 29-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Ананоним, 05:48 , 29-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 08:13 , 29-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 09:22 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Кровосток, 09:58 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 14:56 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,darkshvein, 00:13 , 01-Фев-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 11:13 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 12:06 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 15:00 , 29-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 12:18 , 29-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 14:48 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 15:04 , 29-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Иноагент, 15:22 , 29-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 16:35 , 29-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,Аноним, 17:04 , 30-Янв-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,XXX, 20:30 , 30-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,XXX, 20:34 , 30-Янв-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,trr, 20:58 , 30-Янв-21
• Новый вариант атаки NAT slipstreaming, позволяющей отправить...,darkshvein, 00:10 , 01-Фев-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,онанимус, 23:09 , 01-Фев-21
    • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,darkshvein, 00:19 , 02-Фев-21
  • Новый вариант атаки NAT slipstreaming, позволяющей отправить...,ГОНЩИК, 15:50 , 06-Фев-21
• Новый вариант атаки NAT slipstreaming, позволяющей...,arisu, 08:36 , 09-Фев-21

И вот это вот овнище только что приняли в качестве стандарта.
Малацы.

Верно, в проклЯтое время живем...

В обычное смузивремя, что вы.

хоть цепочка дырявого софта в этом виде атаке длинная, виноват канешна-же NAT...

Обход нат в webrtc используется для прямой передачи данных между компьютерами за nat. Для защиты используйте фаервол

Один фиг, это счастье как раз рассчитывает на stateful filtering. Часть роутеров благополучно пробьют дырку и без всяких натов.

> И вот это вот овнище только что приняли в качестве стандарта.

Уже давно обязали его жрать и не отвлекаться. Почему нет хвалебных коментов ? Ох недоработка гулга..

У гугла в последнее время кризис, даже фанатики начали от них бежать.

Просто гугл переборщил с aнaльным вставлянием рекламы по поводу и без. Настолько, что испортил свой собственный поиск. Вот народ и начал разбегаться.

> гугл .... испортил свой собственный поиск. Вот народ и начал разбегаться.

1) Что значит "испортил... поиск" - Вы заметили ухудшение выдачи? 2) Какой народ? Куда разбегаться? Вы о чём? Есть пруфы?

- Вы заметили ухудшение выдачи?  Вы о чём? Есть пруфы?

есть. ищи.

> испортил свой собственный поиск.

с разморозкой!! только что заметили?

Чушь не пори

> У гугла в последнее время кризис, даже фанатики начали от них бежать.

какой кризис? какие фанатики? вы о чём именно? есть пруфы?

> Ох недоработка гулга..

Твой аккаунт еще не зобанили? Вот это недоработка, но абьюз тим уже взял тебя на карандаш за нарушение ToS.
  

> И вот это вот овнище только что приняли в качестве стандарта.

Которое из них?

Только что?
Какой год у тебя на календаре?
Да, к черту! не важно!
Парень, как только создадут Евросоюз смело покупай новую валюту, евро!

Я не знаю, какой год у тебя на календаре, но...

28.01.2001 - Технология WebRTC получила статус стандарта

Ахах блджад, да, 2001
Появится евро - обязательно куплю. Знал бы - сразу бы купил, а так - только в 2014 так делал. Не прогадал.

2021 конечно
Но не суть

smart doormat — это прекрасно!

Ну вы просто галочку поставьте и не парьтесь.

Nat не для защиты. Обход НАТ это не баг, а фича

От наличия или отсутствия NAT тут ничего не меняется.
Проблема в обходе stateful filtering. NAT тут только часть целого.
Вообще тут ещё к кодописцам ALG в роутерах есть вопросы: какого фига пакеты с флагом фрагмента скармливаются ALG без предварительной дефрагментации.

Вот именно. Нужно фиксить этот баг на уровне ядра, а не в браузерах банить очередную порцию портов.

что-то мне подсказывает, что сквозь ipfw reass (и pf) хрен пролезет это чудище...

> Проблема в обходе stateful filtering

Это вы где вычитали? Проблема только в ALG, ALG это часть NAT.

ALG это внезапно часть stateful tracking, а не NAT.
Которая влияет как на NAT, так и на фильтрацию.
Например порты RTP открывает, читая SIP.

Cisco ASA смотрит на тебя с недоумением...

> smart doormat
> internet connected oven

то чувство, когда саркастичная ирония и не ирония вовсе, а киберпанк, который мы заслужили.

Через какую же попу все описанные технологии работают. Это просто жуть.

Цель интернета - пробить дыру к юзеру. А ты думаешь, почему его военные изобретали?

Кажется исследователи спалили фичу, а удивляющийся просто не понял этого :)

сидящие за nat полноценными юзерами Интернета не являются.
если некоторые ОС небезопасно выставить на реальный IP адрес без защиты, то это их проблемы.

Теории заговора в следующем отделе.
Изобретали интернет военные для военных, "юзеров" изначально там не планировалось вообще.

>OpenWRT проблеме не подвержен

Ну тогда новость можно было и не писать. Проблемы любителей некротиков))

Чушь не пори. В микротиках функционал AGL полностью отключается штатными средствами

Она везде отключается. Вопрос в том, где она включена по умолчанию.

А проблему решить просто: выставляем всем сокетам в системе по дефолту TTL/Hop Limit=1, а тем кому надо во внешку - пусть себе ставят привычные 64/128.
После этого фаерволы становятся не очень то нужны, а такие хаки просто бесполезны.

Можно ещё проще - закрыть для браузера интернет вообще и использовать прокси. Пусть куда угодно пакеты отправляет, хоть и через WebДыреньTC.

Это куда эту единичку прописать?

Единичку прописать не проблема, проблема сказать софту чтобы он другой ттл прописал потом себе на отдельные сокеты.

У меня дежавю или подобная новость с баном портов по умолчанию из-за каких-то уязвимостей уже была?

> У меня дежавю или подобная новость с баном портов по умолчанию из-за
> каких-то уязвимостей уже была?

Написано же, что это новый вариант прошлогодней пробоемы (в новости на неё стоит ссылка), вместо SIP в котором H.323 и обход TURN.

> новый вариант прошлогодней пробоемы

которая в свою очередь является развитием способа открытия портов в GW с помощью транслятора FTP протокола известного более 20 лет.

Кажется исследователи спалили фичу :)

С голым задом нехрен лезть в инет.

Ахахахахаха Помню как фиксили прошлую версию. Добавляли номера портов в чёрный список. Давайте теперь и этот добавляйте. И так до бесконечности.

Не до бесконечности, а до 65535 :)
Но там стандартизаторы как увидят что все порты заблокированы по стандарту, решат что надо теперь к ipv6 добавить и портыv6 :) Чтобы уж точно их хватило с учётом забаненых :)

А они так и делают :facepalm:

>Добавляли номера портов в чёрный список.

РКН довольно курит в сторонке.

Нормальная практика - это закрывать все порты и оставлять только необходимые для работы.

Я так и поступаю.

Так ALG этим и занимается. Открывает порты, необходимые для работы...

Бугага.
У меня не работает.

> Проблема уже устранена в недавних выпусках Firefox 85, Chrome 87.0.4280.141, Edge 87.0.664.75 и Safari 14.0.3.

Проблема в том, что это устраняют браузеры, а не долбоящеры, которые понасовали ALG во всевозможные роутеры.

Вообще есть удивительный карго-культ вокруг NAT-а. Я имел несчастье общаться с людьми которые:
1. Рассматривают NAT как средство безопасности, способное заменить ACL
2. Свято верящие в правильность решений вокруг NAT, отказываясь верить, что это нестандартизированный плохо документированный вендорозависимый механизм внутри фаервола.

ALG - это то что должен отключить каждый здравомыслящий человек вне зависимости от того, что там за вендор и на чем прошивка.

Если вы зайдете в настройки своего железного роутера/файервола вы увидите там перечень протоколов, для которых включено ALG. Так вот знайте! Это не "улучшение поддержки этих протоколов, потому что они не поддерживают NAT", это роутер занимается косорылым DPI и меняет содержимое данных в пакетах, чтобы оно:
а) заработало с его (вендора) единственно-верной реализацией NAT
б) добилось работоспособности "поддерживаемых" протоколов по стандартам 15-летней давности.

Из-за того что производители сетевого оборудования отказываются обновлять ПО, отказываются переходить на ipv6, отказываются стандартизировать механизм NAT они изобретают свои вендороспецифичные трюки вокруг ALG, которые в случае SIP и H323 не просто становятся причиной уязвимостей, но также приводят к неработоспособности этих протоколов, потому что не понимают/отказываются поддерживать их современные стандарты.

Особенно удивляют меня фанбои Cisco, которые верят в безопасность аналогичных ALG на ASA/ASR, дескать это устройства повышенной безопасности с поддержкой инспектирования траффика. А потом, когда их носом тычешь в tcpdump, что инспектирование для вопросов безопасности в понимании Cisco - это повырезать и поковеркать ESMTP, вырезав оттуда "250 STARTTLS", они искренне удивляются. Верующим документация не нужна. Для них DPI и NAT - это средства безопасности, а ALG - это средство помощи "устаревшим" протоколам. А потом их ломают... не понятно конечно почему...

Взять, например, холдинг Эр-Телеком с их интернетами Дом.фу. Когда я последний раз проверял у них от каждого клиента вырезалось STARTTLS. Заговор? Гэбня? Иллюминаты? Ни фига! Просто кто-то использует Cisco вместо коммутаторов и роутеров, да не просто так, а со стандартными настройками, потому что даже их настраивать не умеет.

И все эти вендоры сетевого железа... Они +/- все одинаковые. Им плевать, что стандарты поменялись, потому что сетевой администратор продолжит молиться на Nexus и покупать их дерьмо, даже не понимая суть происходящего выше уровня TCP/IP, даже не подозревая, что Cisco и D-Link это оборудование одного и того же класса. Тьфу.

> Взять, например, холдинг Эр-Телеком с их интернетами Дом.фу. Когда я последний раз проверял у них от каждого клиента вырезалось STARTTLS

Лишний повод не пользоваться услугам крупных корпораций. Городская сеть ближе к клиентам :-)

>Взять, например, холдинг Эр-Телеком с их интернетами Дом.фу. Когда я последний раз проверял у них от каждого клиента вырезалось STARTTLS. Заговор?

Ну это же зависит от настроек почтового сервера. Будет ли он принимать соединения для релея без TLS?

TLS (SMTPS) - да. STARTTLS (ESMTP) - не только от него.

В одном случае SMTP-соединение происходит внутри TLS-обёртки, а во втором случае, наоборот шифрование происходит внутри ESMTP-сессии. Для этого используется команда 250 STARTTLS. При таком подходе соединение между серверами не зашифрованное, и по этому приглашению устанавливается зашифрованное соединение.
Соединение не зашифровано и оно вырезает возможность STARTTLS из ehlo. Потому что так решила Cisco.

250-STARTTLS -> 250-XXXXXXXA
Оно просто видит траффик на 25/587 и режет это. Причем это поведение цисковской помойки по умолчанию.

И не думайте, что баранов принимают в сетевики только в Эр-телекоме. Они повсюду: https://it.slashdot.org/story/14/11/11/2349244/

ALG это же даже как-то сложно. Их оборудование расшифровывает всю почту между почтовым клиентом и сервером, если используется удаленные порты 25/587. А их "сертифицированные" специализды слишком тупы, чтобы SMTP понять. Я пойму, когда аноним в интернете не понимает как работает почта, но я такой же бред от админов-сетевиков слышал. Печально это все... грустно.

Это поможет?
network.security.ports.banned.override = 69,137,161,1719,1720,1723,5060,5061,6566

По идее это должно помочь:

network.security.ports.banned = 69,137,161,1719,1720,1723,5060,5061,6566

Т.к. network.security.ports.banned.override наоборот разрешает порты из списка, исходя из этой информации: http://microsin.net/adminstuff/pcnetwork/firefox-blocking-po...

http://kb.mozillazine.org/Network.security.ports.banned

> По идее это должно помочь:

Ну и ну, спецом для себя открыл, гугл такой гугл, спасибо

на кой чёрт мне сип и webrtc в браузере?
на кой чёрт я должен страдать из-за ретардов, которые не могут в установку отдельного мультимедийного ПО?
причем страдать не по каким то там идейным показателям жора озу/цпу, а по вполне реальным тестам безопасности.
почему браузеры равняются на дебилов?

> на кой чёрт мне сип и webrtc в браузере?
> на кой чёрт я должен страдать из-за ретардов, которые не могут в
> установку отдельного мультимедийного ПО?
> причем страдать не по каким то там идейным показателям жора озу/цпу, а
> по вполне реальным тестам безопасности.
> почему браузеры равняются на дебилов?

есть рабочие станции для дебилов, где работает только браузер, чтобы дебил своими кривыми ручками не запустил винлокер.
вся работа ведётся в браузере - для этого и онлайн офисы создаются, и сип клиенты.

> есть рабочие станции для дебилов, где работает только браузер, чтобы дебил своими
> кривыми ручками не запустил винлокер.
> вся работа ведётся в браузере - для этого и онлайн офисы создаются,
> и сип клиенты.

а-ха-ха, в наиболее дырявом софте. узнаю виндоадминов.

Ставь PALEMOON в нем webrtc вырезан и всякое дерьмо ,сейчас он на гиконе  на 1 процессе .Даже ublock запилили ваще кайф

главное — не останавливаться, и добавлять в браузеры ещё больше всяких API. потому что это модно и безопасно!