포스팅 내용

국내외 보안동향

어떠한 TCP/UDP 서비스도 접근 가능한 새로운 NAT/Firewall 우회 공격

New NAT/Firewall Bypass Attack Lets Hackers Access Any TCP/UDP Service

 

<이미지 출처: https://samy.pl/slipstream/>

 

 

공격자가 방화벽 보호 및 원격 접속을 우회해 원격으로 어떤 TCP/UDP 서비스에도 접근할 수 있도록 허용하는 새로운 기술이 발견되었습니다.

 

NAT Slipstreaming이라 명명된 이 기술은 타깃에 악성 사이트로(또는 악성 광고를 로드하는 정식 사이트) 연결되는 링크를 보냅니다. 해당 사이트는 방문 시 게이트웨이를 트리거해 피해자의 TCP/UDP 포트를 오픈하여 브라우저 기반 포트 제한을 우회합니다.

 

이 취약점은 지난 주말 보안 연구원인 Samy Kamkar가 공개했습니다.

 

“NAT Slipstreaming 공격은 사용자의 NAT, 라우터, 방화벽에 내장된 애플리케이션 수준 게이트웨이 (ALG) 연결 추적 메커니즘을 브라우저와 함께 악용합니다. 이는 타이밍 공격 또는 WebRTC, 자동화된 원격 MTUIP 단편화 발견, TCP 패킷 사이즈 메시징, TURN 인증 오용, 정확한 패킷 경계 제어, 브라우저 악용을 통한 프로토콜 혼동 등을 통해 내부IP 추출과 연결시킵니다.”

 

이 기술은 리눅스 커널 버전 2.6.36.4를 실행하는 NetGear Nighthawk R7000라우터를 통해 실행되었습니다.

 

패킷 경계 결정

 

NAT (Network Address Translation)은 방화벽과 같은 네트워크 장치에서 패킷 전송 중 패킷의 IP 헤더에 있는 네트워크 주소 정보를 수정하여 IP 주소 공간을 또 다른 공간으로 다시 매핑하는 프로세스입니다.

 

조직의 내부 네트워크에서 사용되는 공용 IP 주소의 수를 제한하고 단일 공용 IP 주소를 여러 시스템간에 공유해 보안을 향상시키는 것이 주요 목적입니다.

 

NAT SlipstreamingTCPIP 패킷 분할을 활용하여 원격으로 패킷 경계를 조정하고, 이를 사용하여 REGISTER / INVITE와 같은 SIP 메소드로 시작하는 TCP/UDP 패킷을 생성하는 방식으로 동작합니다.