[ninux-not-wireless] NAT Slipstreaming
Saverio Proto
zioproto at gmail.com
Tue Nov 3 08:57:03 CET 2020
Ciao Germano,
grazie ! veramente molto interessante.
ho letto molto velocemente. Mi sembra di capire che l'attacco sfrutta
il connection tracking di protocolli che usano porte multiple come FTP
e SIP.
Il javascript malevolo finge di essere un client FTP (canale di
controllo) e cosi connessioni TCP sono permesse da fuori verso dentro.
Poi c'e' l'analisi dei firmware dei router ADSL comuni, dove c'e' poco
da configurare a volte, e dove per far funzionare FTP questo
connection tracking e' abilitato.
Ma usando un router come Omnia Turris o un OpenWrt in generale, e
potendo configurare iptables come si vuole. c'e' modo di mitigare
l'attacco ?
Mi viene in mente di non usare piu' RELATED ed EXPECTED (man
iptables-extensions) tra gli stati accettati per i pacchetti IP nelle
regole di iptables. Probabilmente questo gia' mitiga questo tipo di
attacco.
Che ne pensi ?
ciao :)
Saverio
Il giorno dom 1 nov 2020 alle ore 02:10 Germano Massullo
<germano.massullo at gmail.com> ha scritto:
>
> NAT Slipstreaming, a spooky new technique that allows an attacker to remotely access any TCP/UDP service bound to a victim machine, bypassing the victim’s NAT/firewall, just by the victim visiting a website.
> https://samy.pl/slipstream/
> https://twitter.com/samykamkar/status/1322671073893126144
> _______________________________________________
> Not-wireless mailing list
> Not-wireless at ml.ninux.org
> https://ml.ninux.org/mailman/listinfo/not-wireless
More information about the Not-wireless
mailing list