ASCII码 ASCII码

Chrome再次屏蔽七个端口 以抵御NAT Slipstreaming攻击

发布于:2021-03-03 15:18:42  栏目:技术文档

  Bleeping Computer 报道称,为了阻止 NAT Slipstreaming 2.0 漏洞,Google Chrome 浏览器再次封堵了七个 TCP 端口。此前为了应对公网 IP 地址不够用的问题、同时相对提升网络的安全性,几乎所有路由器 / 防火墙都提供了“网络地址转换”(NAT)功能。即便是那些设置了不可路由的私有 IP 地址的设备,亦可借此来实现互联网的访问。

Chrome 已屏蔽 69 号端口的访问

  据悉,NAT 允许路由器路由器追踪内网设备的互联网请求,然后再通过公网 IP 发出请求。在收到远程计算机的响应之后,NAT 又可以将之转发给原始请求的内网设备。

  然而上个月的时候,安全研究员 Sammy Kamkar、以及 Armis 的 Ben Seri 和 Gregory Vishnipolsky 三人,披露了 NAT Slipstreaming 漏洞的新版本。

  在用户访问被托管了恶意脚本的相关网站时,具有特殊响应设计的恶意软软件可使之绕过访问者的 NAT 防火墙,并直指访客的任意内网端口(包括 TCP / UDP 协议)。

  在首次披露该漏洞(1.0 版本)时,谷歌表示他们已经在 Chrome 浏览器上封堵了针对 5060 / 5061 号 TCP 端口的 HTTP / HTTPS 访问,以修复 Chrome 87 中发现的相关漏洞。

  随着新漏洞(2.0 版本)的公布,谷歌今日宣布将继续封堵 69 / 137 / 161 / 1719 / 1720 / 1723 / 6566 号 TCP 端口的 HTTP / HTTP / FTP 访问。

NAT Streaming 2.0 攻击示例

  谷歌表示,NAT Slipstream 2.0 是一种跨协议请求伪造攻击,使得恶意的互联网服务器能够向 NAT 设备后部的内网专用计算机发起攻击,相关后果取决于能够在 1720(H.323)号端口上发送的流量。

  该公司在 Chrome 平台状态网页上补充道:“为防止未来遭受的攻击,本次实施还将阻止其它几项已知的 NAT 设备端口检查漏洞”。

  更新之后,Chrome 用户会在尝试通过上述端口连接相关网站时看到一条消息提示,指出因“ERR_UNSAFE_PORT”错误而无法继续进行访问。

  如果你要使用的网站正好基于上述端口,还请及时切换到其它安全的端口,以避免 NAT Slipstream 之类的网络攻击。

  此外 Mozilla Firefox、Microsoft Edge、以及 Apple Safari 14.0.3 浏览器,也已为缓解该漏洞而实施了相应措施。

相关推荐
阅读 +