• 2 min de lectura
NAT Slipstreaming v2 abre servicios TCP y UDP de forma remota
Samy Kamkar y investigadores de Armis detallan un ataque basado en navegador que puede perforar NAT y cortafuegos para alcanzar servicios TCP o UDP internos.

Imagen: Hacker News
Una nueva versión de NAT Slipstreaming muestra cómo una víctima que simplemente visita un sitio web puede exponer cualquier servicio TCP o UDP en sistemas detrás del NAT o cortafuegos de la víctima. La técnica, descrita por Samy Kamkar junto a Ben Seri y Gregory Vishnipolsky de Armis, abusa del navegador y del comportamiento de los Application Level Gateway (ALG) en routers y cortafuegos para crear lo que los investigadores denominan control remoto arbitrario de agujeros en el cortafuegos.
Según la publicación, la v2.0 amplía el trabajo original de Kamkar sobre NAT Pinning de 2010, que se presentó en DEFCON 18 y Black Hat 2010. El ataque encadena varios componentes: descubrimiento de IP interna mediante WebRTC o ataques de temporización, detección remota de MTU y fragmentación, manipulación del tamaño de los paquetes y confusión de protocolos. La idea clave es lograr que el propio NAT o cortafuegos abra un puerto de destino, eludiendo las restricciones de puertos del navegador.
Los investigadores dicen que el ataque funciona en navegadores importantes, modernos y antiguos, siempre que el NAT o cortafuegos objetivo admita ALG para protocolos como SIP, H.323, FTP o IRC DCC. En la v1, el ataque se basaba en un flujo SIP REGISTER elaborado en el puerto 5060. En la v2, se recurre a un enfoque de reenvío de llamadas H.323 en el puerto 1720, usando STUN basado en TCP a través de WebRTC para eludir parches anteriores y las listas de puertos restringidos por el navegador.

Recomendado
La IA todavía no reemplazará a los pentesters
Esto importa porque, según lo descrito, el atacante puede dirigir el reenvío de puertos no solo a la máquina víctima sino a cualquier IP interna de la red de la víctima. Si tiene éxito, el atacante puede entonces conectarse directamente a servicios que antes estaban ocultos.
La publicación también explica la mecánica de red detrás del ataque. El NAT permite que varios sistemas compartan una IP pública reescribiendo los paquetes salientes y entrantes, mientras que el seguimiento de conexiones mantiene el estado para que las respuestas se enruten de vuelta al host interno correcto. Los ALG extienden esa lógica para protocolos de múltiples puertos, inspeccionando el tráfico de control y abriendo dinámicamente agujeros para conexiones de datos relacionadas.
Kamkar también comenzó a examinar el firmware de routers para ver cómo los gateways comunes manejan estos protocolos, usando un Netgear Nighthawk R7000 como ejemplo. La publicación muestra una imagen de firmware descargada, R7000-V1.0.9.64_10.2.64.chk, con un tamaño de aproximadamente 30 MB, y luego utiliza binwalk para identificar estructuras incrustadas del firmware, incluyendo datos LZMA y un sistema de archivos Squashfs.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía Hacker News


