Theo công ty bảo mật IoT dành cho doanh nghiệp Armis (có trụ sở chính tại California), cuộc tấn công mới được thực hiện dựa trên kỹ thuật đã được tiết lộ trước đó. Nó có thể vượt qua bộ định tuyến, tường lửa và tiếp cận bất kỳ thiết bị nào trong mạng nội bộ từ Internet.
Được tiết lộ lần đầu tiên bởi nhà nghiên cứu bảo mật Samy Kamkar vào cuối tháng 10/2020, cuộc tấn công dựa trên JavaScript đánh lừa người dùng truy cập vào một trang web độc hại để phá vỡ các hạn chế về cổng dựa trên trình duyệt. Đồng thời, cho phép kẻ tấn công truy cập từ xa vào các dịch vụ TCP/UDP trên thiết bị của nạn nhân, ngay cả khi thiết bị được bảo vệ bởi tường lửa hoặc kỹ thuật NAT.
Các biện pháp đã được khuyến cáo sử dụng từ ngày 11/11/2020 để bảo vệ khỏi cuộc tấn công trong trình duyệt Chrome 87, Firefox 84 và Safari; bằng cách ngăn chặn các kết nối trên cổng 5060 hoặc 5061. Ben Seri và Gregory Vishnipolsky (các nhà nghiên cứu của Armis) đã tiết lộ rằng, NAT Slipstreaming 2.0 đặt các thiết bị nhúng không được quản lý vào mức độ rủi ro cao hơn, bằng cách cho phép những kẻ tấn công lấy thông tin thiết bị nằm trên mạng nội bộ tiếp xúc trực tiếp với Internet.
Các thiết bị bao gồm máy in văn phòng, bộ điều khiển công nghiệp, camera IP và các giao diện chưa được xác thực khác có thể bị tấn công dễ dàng khi NAT/tường lửa bị đánh lừa mở lưu lượng mạng tới thiết bị nạn nhân.
Các nhà nghiên cứu cho biết: "Sử dụng biến thể mới của cuộc tấn công NAT Slipstreaming để truy cập các loại giao diện này từ Internet có thể dẫn đến các cuộc tấn công ransomware tinh vi".
Google, Apple, Mozilla và Microsoft đã khẩn trương phát hành các bản vá cho các trình duyệt Chrome (v87.0.4280.141), Safari (v14.0.3), Firefox (v85.0) và Edge (v87.0.664.75) để giải quyết vấn đề này.
NAT Slipstreaming cho phép kẻ tấn công vượt qua NAT/firewall và truy cập từ xa vào bất kỳ dịch vụ TCP/UDP nào được liên kết với máy nạn nhân. Đặc biệt, mã JavaScript độc hại chạy trên trình duyệt của nạn nhân trích xuất địa chỉ IP nội bộ và lợi dụng việc phân gói tin TCP/IP để điều chỉnh ranh giới gói tin. Thông qua đó, kẻ tấn công có thể để tạo gói tin TCP/UDP bắt đầu bằng giao thức SIP như REGISTER hoặc INVITE. Các gói tin trong giao thức SIP chứa địa chỉ IP nội bộ bên trong gửi đi yêu cầu HTTP POST qua cổng TCP 5060.
NAT Slipstreaming 2.0 tương tự như cuộc tấn công NAT Slipstreaming, sử dụng cùng một cách tiếp cận nhưng dựa trên giao thức H.323 VoIP thay vì SIP để gửi và nhận nhiều yêu cầu đến máy chủ của kẻ tấn công trên cổng H.323 (1720), cho phép kẻ tấn công quét qua một loạt địa chỉ IP và cổng, mở từng cổng và địa chỉ IP đó với Internet.
Các nhà nghiên cứu kết luận: "Thật không may, giải pháp lâu dài để khắc phục tấn công cần phải được chỉnh sửa một số cơ sở hạ tầng Internet. Điều quan trọng là phải hiểu vấn đề bảo mật không phải nằm ở cách thức của việc tạo ra NAT, mà nó chủ yếu bắt nguồn từ sự cạn kiệt tiềm năng của các địa chỉ IPv4. Các yêu cầu kế thừa như ALG vẫn là vấn đề chính trong thiết kế NAT ngày nay và là lý do chính khiến các cuộc tấn công bỏ qua dạng này phổ biến".
Thanh Bùi ( The Hacker News)
13:00 | 04/02/2021
13:00 | 03/02/2021
15:00 | 10/01/2025
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), gần đây, các chuyên gia bảo mật đã ghi nhận một chiến dịch tấn công nhằm vào các tiện ích mở rộng trên trình duyệt Google Chrome, dẫn tới việc ít nhất 16 tiện ích đã bị ảnh hưởng....
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
13:00 | 09/10/2024
Công ty bảo mật và cơ sở hạ tầng web - Cloudflare tiết lộ rằng họ đã ngăn chặn được một cuộc tấn công từ chối dịch vụ phân tán (DDoS) phá kỷ lục, đạt đỉnh ở mức 3,8 terabit mỗi giây (Tbps) và kéo dài 65 giây. Trong tháng 9, công ty này đã ngăn chặn hơn 100 cuộc tấn công DDoS L3/4 siêu lớn, trong đó nhiều cuộc tấn công đã vượt mốc 2 tỷ gói tin mỗi giây (Bpps) và 3 Tbps.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025