Chrome 87部署防范NAT Slipstreaming 2.0攻击防护

安全研究人员发现一种可绕过防火墙网址转译（Network Address Translation, NAT）服务的攻击手法。而在研究人员公布后，Google也释出防范攻击的Chrome 87更新版。

这项攻击是安全研究人员Samy Kamkar去年10月首先揭露的NAT Slipstream的变形攻击手法，因而称之为NAT Slipstreaming 2.0。

NAT是一种在IP封包通过路由器或防火墙时，重写来源IP地址或目的IP地址的技术。私有或企业网络管理员可设立NAT装置，让多台主机通过一个公有IP访问互联网，减少真实IP的用量，一方面有管理及成本的好处，另一方面也减少内部网络装置直接曝露于互联网攻击的风险。NAT服务器等于是一种封包过滤的应用层闸道（Application Layer Gateway，ALG）。

而NAT Slipstreaming是一种跨协定的呼叫伪造呼叫，第一代NAT Slipstreaming下，内部网络用户被诱骗点入连结造访有恶意JavaScript的外部攻击者网站，令两者建立连线，而使JavaScript在装置浏览器上执行。这让浏览器对攻击者网站的服务器发送流量。攻击者可选定不同协定流量来欺骗NAT，使其以为是互联网的合法应用流量，而允许其连向攻击者属意的任意内部TCP/ UDP服务传输埠(port)，等于让外部攻击者直接连结用户装置。

NAT Slipstreaming 2.0为Kamkar和安全公司Armis的Ben Seri及Gregory Vishnepolsky联合研究发现，虽然同为欺骗NAT的攻击，但更为危险。研究人员解释，1.0和2.0 NAT Slipstreaming差别之一在于1.0滥用SIP协定，使攻击流量传送到受害装置的port 5060和5061。2.0则是滥用H.323多媒体内容协定建立连线，此外也能建立WebRTC TURN连线。

它之所以更危险是因为，透过滥用H.323协定，攻击者可存取NAT装置后的任何装置IP，而非仅点选连结的受害者IP。其次，浏览器也可对任何目的地网站建立Web RTC TURN连线，此过程并不经过浏览器的port限制名单比对，好处是让攻击者触及先前找不到的FTP或IRC（port 21、6667）闸道，FTP闸道经常广泛用于防火墙/NAT。也因此，光封住5060 port已经不够。

NAT Slipstreaming 2.0可使曝露企业内部网络上所有装置，例如透过预设打印协定或内部网页服务器控制的网络打印机，使用未验证控管协定的工控设备、或是IP摄影机。

NAT Slipstreaming 1.0的正式编号为CVE (CVE-2020-16022)，Google Chrome去年十月已经部署了防护。

NAT Slipstreaming 2.0在Firefox中的漏洞被命名为CVE-2020-16043，在Chromium（Chrome及Edge）中被命名为CVE-2021-23961。Google上周再针对NAT Slipstreaming 2.0释出Chrome  87.0.4280.117，封锁了Ports 69、137、161、1719、1720、1723、6566及10080，本版及之后版本用户将无法从上述传输埠连向HTTP、HTTPS或 FTP服务器。

Mozilla Firefox及Microsoft Edge也分别部署了NAT Slipstreaming 2.0的防护。

研究人员指出，NAT Slipstreaming 2.0并非浏览器的“漏洞”，因为问题是出在NAT功能上，而严格说来，使用者及管理员关闭所有应用层闸道，才是真正的“修补”。