This website uses cookies. By continuing to browse this website, you accept our use of cookies and our Cookie Policy. Close

Learn, connect, and collaborate at the Cyber Voice Zero Trust Summit. October 27th.

Martes, Mar 19, 2019

Ataques a la red interna desde el internet público usando un navegador como proxy

Share

John Bergbom Senior Security Researcher

Si bien no es un ataque nuevo, fuera de la comunidad de investigación en seguridad, no se sabe mucho acerca de que un JavaScript malicioso hospedado en el Internet público puede atacar a la red interna. Debido a que un navegador tendrá acceso de modo predeterminado al servidor local, así como a la LAN local, estos ataques de público a privado pueden evadir no sólo al firewall perimetral corporativo/usuario, sino que también al firewall local hospedado en el servidor.

El motivo de la investigación

De la escasa documentación que existe sobre los ataques contra la red interna, la mayoría de las fuentes lo describen en términos de explosión inter-protocolos (atacando a no-HTTP a través de HTTP), aunque nuestro enfoque está en la explotación intra-protocolos (atacando a HTTP a través de HTTP). Como no sabemos de ninguna fuente que describa estos ataques , nuestra intención es reunir estas técnicas en un whitepaper con el propósito de llenar un vacío en la documentación sobre este tipo de ataques, así como atraer la atención hacia una superficie de ataque subestimada.

 Los agentes maliciosos conocen estos ataques y los defensores también deben estar informados y conocerlos.

Descripción del ataque

Incluso frente a la Same-origin Policy (SOP), podemos descubrir servidores internos, realizar un análisis de puertos limitado y ofrecer un servicio de fingerprinting. A continuación presentamos un un ejemplo de cómo se compromete un servicio interno vulnerable a pesar de SOP.

El servicio interno de fingerprinting del Internet público puede tener este aspecto:

Asimismo, mostraremos un caso extremo de navegación real por la red interna desde el exterior. (no se entiende esta línea)

Protección

Para el usuario final promedio no existe una solución milagrosa que ofrezca una protección completa, pero si algunas soluciones que usted puede utilizar para reducir su superficie de ataque. En nuestro whitepaper hablaremos de los medios de protección dirigidos a diferentes audiencias objetivo. Además, abordaremos en él los medios para detectar estos ataques desde la perspectiva del análisis del tráfico de la red.

Los proveedores de navegadores deben considerar anular las conexiones que cruzan el límite de la IP pública/privada, en la dirección de público a privado.

About the Author

John Bergbom

Senior Security Researcher

John Bergbom is a Senior Security Researcher on Forcepoint’s Special Investigations team within Forcepoint Security Labs. He investigates a range of topics ranging from malware analysis and reverse engineering to the security implications of new technologies. From previous roles, he has...