NAT-Slipstreaming 2.0 Geräte hinter NAT-Routern sind nicht sicher!

Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit NAT Slipstreaming können Angreifer Geräte hinter einer NAT-Firewall angreifen. Der Angreifer muss dazu einen Benutzer nur auf eine entsprechend manipulierte Webseite locken. Wir zeigen, was es mit dem Angriff auf sich hat.

Mit einem NAT-Slipstreaming-Angriff ist der TCP/UDP-Dienst auch hinter NAT-Firewalls angreifbar.
Mit einem NAT-Slipstreaming-Angriff ist der TCP/UDP-Dienst auch hinter NAT-Firewalls angreifbar.
(© James Thew - stock.adobe.com)

Bei NAT Slipstreaming-Angriffen locken Angreifer ihre Opfer auf eine entsprechend manipulierte Webseite. Für den Schadcode wird auf JavaScript gesetzt. Dieser verwendet den Browser auf dem Computer eines Opfers. Der Angriff nutzt Paketinjektion über alle bekannten Browser und verschiedene Techniken zum erkennen von internen IP-Adressen. Umfangreiche Informationen zeigt der Forscher Samy Kamkar auf seiner Webseite.

Seit Anfang 2021 gibt es eine weitere Form von NAT Slipstreaming-Angriffe, die wesentlich gefährlicher ist. Während bei der ersten Version vor allem ein einzelnes Gerät hinter einer NAT-Firewall angegriffen wurde, kann bei NAT Slipstreaming 2.0 das ganze Netzwerk hinter einer NAT-Firewall angegriffen werden, wenn ein einzelner Benutzer den Schadcode auf seinem Rechner ausführt.

Öffnet der Benutzer die Webseite, kann der Angreifer eine Verbindung zu dem entsprechenden Computer aufbauen, auch dann, wenn er sich hinter einer Firewall befindet. Dazu überträgt der Webserver Schadcode zusammen mit den Daten der aufgerufenen Webseite auf den Computer des Opfers. Bei diesem Vorgang wird die komplette Sicherheitsinfrastruktur übergangen. Grundsätzlich sind davon nahezu alle Browser betroffen. Die meisten Hersteller integrieren zwar in ihren Browsern mittlerweile weitere Schutzfunktionen, die allerdings nicht umfassend wirken. Hauptsächlich werden Listen mit ALG-Ports hinterlegt.

Welche Router und Firewalls sind betroffen?

Von NAT Slipstreaming-Angriffen sind vor allem Router und Firewalls nutzen, die auf die Application Layer Gateways (ALG) setzen (siehe nächster Abschnitt). Wenn auf einer Firewall oder einem Router ALG nicht aktiv ist, besteht auch keine Gefahr für einen erfolgreichen Angriff. Laut AVM sind auch AVM Fritz!Boxen nicht von den Angriffen betroffen.

Application Layer Gateway als Grundlage für den Angriff

Damit NAT Slipstreaming genutzt werden kann, nutzen Angreifer die Application Layer Gateways (ALG) auf einer NAT-Firewall aus. Generell handelt es sich bei einem ALG um einen Sicherheitsmechanismus auf Firewalls. Wenn im Netzwerk Dienste im Internet zur Verfügung gestellt werden, sind in der Firewall zahlreiche Ports notwendig, die zu den entsprechenden Endgeräten weitergeleitet werden sollen. Das stellt natürlich eine Sicherheitsgefahr dar.

Beim Einsatz eines ALG werden keine Ports dauerhaft statisch zu Endgeräten im Netzwerk geöffnet, sondern das Prinzip arbeitet mit dynamischen Ports. Kommt ein Paket am Router an, prüft er die Berechtigung und öffnet gegebenenfalls einen Port vom Internet zum Zielgerät. Über diesen dynamischen Port erfolgen die Zugriffe. Die Angreifer nutzen die interne IP-Extraktion per Timing-Attacke oder WebRTC, die automatische Erkennung von MTU und IP-Fragmentierung sowie den Missbrauch der TURN-Authentifizierung.

Für diesen Angriff muss das NAT/die Firewall ALG (Application Level Gateways) unterstützen, die für Protokolle, die mehrere Ports (Steuerkanal + Datenkanal) verwenden können, wie SIP und H323 (VoIP-Protokolle), FTP, IRC DCC usw., zwingend erforderlich sind.

NAT-Slipstreaming 2.0

Der Schadcode auf dem Computer des Opfers versucht aus dem internen Netzwerk heraus eine SIP-Verbindung aufzubauen. Mit NAT-Slipstreaming 2.0 nutzen die Angreifer nicht SIP, sondern H.323. Der Schadcode sendet mehrere Fetch-Requests vom Browser des Opfers an den H.323-Port (1720) und ermöglicht es dem Angreifer eine Reihe von IP-Adressen und Ports zu durchlaufen, wobei jedes Mal ein Port zum Internet geöffnet wird.

Das ist für den Router zunächst nicht verdächtig, da die Anforderung aus dem internen Netzwerk stammt, nicht aus dem Internet. Sobald eine kompromittierte Verbindung geöffnet wurde, kann der Schadcode nahezu beliebig weitere Verbindungen öffnen, auch zu anderen Rechnern im Internet. Die Firewall wird dadurch wortwörtlich „durchlöchert“.

Im Rahmen der Anforderung öffnet das ALG den angeforderten Port, und der Angreifer kann durch diesen Port direkt auf den befallenen Computer zugreifen. Bei diesem Vorgang kann der Angreifer anschließend auch weitere Dienste auf dem kompromittierten Rechner öffnen und auch Daten übertragen oder manipulieren. Diese Angriffe sind schon länger bekannt, gewinnen seit Anfang Januar aber an Brisanz.

Mit NAT Slipstreaming 2.0 können Angreifer nicht nur den lokalen Rechner angreifen, sondern die anderen Rechner im jeweiligen Netzwerk gleich mit. Von den Angriffen sind nicht nur PCs betroffen, sondern auch andere Netzwerkgeräte. Dabei kann es sich um NAS-Systeme handeln, IoT-Devices, IP-Kameras, aber auch komplette Industrieanlagen, die eine IP-Adresse haben. Grundsätzlich ist jedes Gerät gefährdet, dass über IP im Netzwerk ansprechbar ist.

Haben die Geräte keine eigenen Sicherheitsfunktionen ist die Gefahr noch größer, da sich die Geräte auch nicht selbst schützen können. NAT-Slipstreaming ermöglicht daher auch Angriffe auf Computer, die überhaupt nicht mit dem Internet verbunden sind, aber im gleichen Netzwerk wie ein kompromittierter Computer betrieben werden.

Parallel dazu wird bei den betroffenen Browsern auch WebRTC (Web Real Time Communication)ausgenutzt. Dabei handelt es sich um einen Standard, er Browsern erlaubt untereinander in Echtzeit zu kommunizieren und Daten auszutauschen

Schutz gegen NAT Slipstreaming

Um sein Netzwerk vor Angriffen mit NAT Slipstreaming zu schützen, sollte auf dem Router die ALG-Funktion komplett deaktiviert werden. Natürlich hat das wiederum den Nachteil, dass in diesem Fall wieder statische Ports geöffnet werden müssen, allerdings sind durch diesen Vorgang die NAT Slipstream-Angriffe nicht mehr möglich.

Mittlerweile haben die meisten Browserhersteller ihre Produkte aktualisiert. Auf allen Geräten mit denen eine Verbindung zum Internet aufgebaut werden kann, sollte eine aktuelle Version des jeweiligen Browsers installiert werden.

Wer sein Netzwerk sicher mit dem Internet verbinden will, sollte eine vollwertige Firewall nutzen und NAT nur in Ausnahmen einsetzen. Hier sollte natürlich idealerweise auch mit DMZ gearbeitet werden. Beim Einsatz von ALG sollte darauf geachtet werden, dass Layer-7-Anwendungsinspektion korrekt konfiguriert ist und funktioniert. Die Richtlinien und Regeln dazu werden auf den Firewalls bereitgestellt, die ALG nutzen.

(ID:47298271)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist