원격 해커가 내부 네트워크의 기기를 공격할 수 있는 새로운 공격 발견

 

 

 

New Attack Could Let Remote Hackers Target Devices On Internal Networks

 

내부 네트워크 내 어떤 기기라도 해킹이 가능한 NAT Slipstreaming 공격의 새로운 변종이 발견되었습니다.

 

IoT 보안 업체인 Armis에서 발견한 이 새로운 공격은 (CVE-2020-16043, CVE-2021-23961) 이전에 공개된 기술을 기반으로 라우터와 방화벽을 우회해 내부 네트워크의 관리되지 않은 기기에 도달할 수 있습니다.

 

2020년 10월 보안 연구원인 Samy Kamkar가 처음으로 발견한 이 자바스크립트 기반 공격은 사용자가 악성 웹사이트에 방문하도록 속여 브라우저 기반 포트 제한을 우회하고, 방화벽이나 NAT으로 보호되도록 설정되어 있을 경우에도 공격자가 원격으로 피해자 기기의 TCP/UDP 서비스에 접근하도록 허용합니다.

 

2020년 11월 11일 크롬 87, 파이어폭스 84, 사파리에서 포트 5060 또는 5061의 연결을 방지하는 부분적인 완화법이 공개되었지만, Armis의 연구원들은 “NAT Slipstreaming 2.0이 공격자가 내부 네트워크에 위치한 기기를 인터넷에 직접 노출시키도록 허용하여 관리되지 않는 내장 기기를 더욱 큰 위험에 빠트린다”고 밝혔습니다.

 

NAT Slipstreaming 2.0 – 기업 네트워크 우회에 대한 시연은 영상에서 확인하실 수 있습니다.

 

이 공격으로 인해 사무실의 프린터, 산업용 컨트롤러, IP 카메라 및 기타 인증되지 않은 인터페이스 등 취약한 기기가 잠재적으로 노출될 수 있는 위험이 발생합니다.

 

연구원들은 이에 대해 아래와 같이 언급했습니다.

 

“인터넷에서 이러한 유형의 인터페이스에 액세스하기 위해 새로운 NAT Slipstreaming 변종 공격을 실행할 경우 그저 귀찮은 공격에서 정교한 랜섬웨어까지 다양한 공격을 실행할 수 있게 됩니다.”

 

구글, 애플, 모질라, 마이크로소프트는 새로운 문제를 해결하기 위해 크롬(v87.0.4280.141), 사파리 (v14.0.3), 파이어폭스 (v85.0), 엣지 (v87.0.664.75)에 대한 패치를 공개했습니다.

 

NAT Slipstreaming을 위해 H.323 패킷 사용해

 

간단히 설명하자면 공격자는 타깃이 악성코드에 감염된 웹사이트에 방문하도록 속여 NAT Slipstreaming을 통해 NAT과 방화벽을 우회하여 피해자 컴퓨터에 연결된 모든 TCP/UDP 서비스에 원격으로 접근할 수 있게 됩니다.

 

특히 피해자의 브라우저에서 실행되는 악성 자바스크립트 코드는 내부 IP 주소를 추출하고, TCP/IP 패킷 분할을 이용하여 대규모 TCP/UDP 비콘을 생성하고, TCP port 5060을 통해 아웃바운드 HTTP POST 요청 내부에 내부 IP 주소를 포함한 SIP(Session Initiation Protocol) 패킷을 몰래 가져옵니다.

 

“이는 공격자가 제어하는 TCP 연결의 최대 세그먼트 크기 값을 신중하게 설정하여 공격자가 HTTP 요청 중간 부분의 TCP 세그먼트를 완전히 제어하는 방식으로 달성할 수 있습니다.”

 

결과적으로 NAT 애플리케이션 수준 게이트웨이(ALG)에서 내부 IP 주소를 통해 클라이언트의 기기로의 인바운드 연결을 위한 임의 포트를 오픈하는 결과를 초래합니다.

 

NAT Slipstreaming 2.0 – OT 네트워크 우회에 대한 시연은 영상에서 확인하실 수 있습니다.

 

NAT Slipstreaming 2.0은 동일한 접근 방식을 사용하여 앞서 언급한 공격과 유사하지만, H.323 포트(1720)의 공격자의 서버로 Fetch 요청을 다수 전송하는데 SIP 대신 H.323 VoIP 프로토콜을 사용하기 때문에 공격자가 IP 주소 및 포트 범위를 반복하고, 이들을 인터넷에 오픈할 수 있게 됩니다.

 

연구원들은 안타깝게도 장기적인 해결책은 익숙한 인터넷 인프라의 일부를 정비하는 것이라 결론지었습니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/01/new-attack-could-let-remote-hackers.html

https://www.armis.com/resources/iot-security-blog/nat-slipstreaming-v2-0-new-attack-variant-can-expose-all-internal-network-devices-to-the-internet/