Chrome再次屏蔽七个端口以抵御NAT Slipstreaming攻击

显示全部楼层 · 发表于 2021-1-30 20:46:32

Bleeping Computer 报道称，为了阻止 NAT Slipstreaming 2.0 漏洞，Google Chrome 浏览器再次封堵了七个 TCP 端口。此前为了应对公网 IP 地址不够用的问题、同时相对提升网络的安全性，几乎所有路由器 / 防火墙都提供了“网络地址转换”（NAT）功能。即便是那些设置了不可路由的私有 IP 地址的设备，亦可借此来实现互联网的访问。

Chrome 已屏蔽 69 号端口的访问

据悉，NAT 允许路由器路由器追踪内网设备的互联网请求，然后再通过公网 IP 发出请求。在收到远程计算机的响应之后，NAT 又可以将之转发给原始请求的内网设备。

然而上个月的时候，安全研究员 Sammy Kamkar、以及 Armis 的 Ben Seri 和 Gregory Vishnipolsky 三人，披露了 NAT Slipstreaming 漏洞的新版本。

在用户访问被托管了恶意脚本的相关网站时，具有特殊响应设计的恶意软软件可使之绕过访问者的 NAT 防火墙，并直指访客的任意内网端口（包括 TCP / UDP 协议）。

在首次披露该漏洞（1.0 版本）时，谷歌表示他们已经在 Chrome 浏览器上封堵了针对 5060 / 5061 号 TCP 端口的 HTTP / HTTPS 访问，以修复 Chrome 87 中发现的相关漏洞。

随着新漏洞（2.0 版本）的公布，谷歌今日宣布将继续封堵 69 / 137 / 161 / 1719 / 1720 / 1723 / 6566 号 TCP 端口的 HTTP / HTTP / FTP 访问。

谷歌表示，NAT Slipstream 2.0 是一种跨协议请求伪造攻击，使得恶意的互联网服务器能够向 NAT 设备后部的内网专用计算机发起攻击，相关后果取决于能够在 1720（H.323）号端口上发送的流量。

该公司在 Chrome 平台状态网页上补充道：“为防止未来遭受的攻击，本次实施还将阻止其它几项已知的 NAT 设备端口检查漏洞”。

更新之后，Chrome 用户会在尝试通过上述端口连接相关网站时看到一条消息提示，指出因“ERR_UNSAFE_PORT”错误而无法继续进行访问。

如果你要使用的网站正好基于上述端口，还请及时切换到其它安全的端口，以避免 NAT Slipstream 之类的网络攻击。

此外 Mozilla Firefox、Microsoft Edge、以及 Apple Safari 14.0.3 浏览器，也已为缓解该漏洞而实施了相应措施。

显示全部楼层 · 发表于 2021-1-30 20:53:34

千万别把路由器NAT当成防火墙或者网络隔离措施（少数自带防火墙的高端路由器除外）
以为躲在路由器后面就安全了？就能关了电脑自带防火墙了？

显示全部楼层 · 发表于 2021-1-31 08:33:22

硬件防火墙吗

显示全部楼层 · 发表于 2021-1-31 09:35:34

这是本地端口还是远程端口啊，如果想在防火墙里面手动增加的话。。。。

显示全部楼层 · 发表于 2021-1-31 15:44:36

薹发表于 2021-1-30 20:53
千万别把路由器NAT当成防火墙或者网络隔离措施（少数自带防火墙的高端路由器除外）
以为躲在路由器后面就 ...

为什么？一般路由器默认不响应外部ping，而且阻止所有传入链接，除非你主动引狼入室

[ＩＴ业界] Chrome再次屏蔽七个端口 以抵御NAT Slipstreaming攻击

[ＩＴ业界] Chrome再次屏蔽七个端口以抵御NAT Slipstreaming攻击