Os pesquisadores revelaram um método muito novo que ajuda a explorar uma vulnerabilidade nos cabos Ethernet para contornar firewalls e NATs.
Anteriormente, esta exploração era considerada inexplorável; mas agora a fraqueza foi nomeada como Etheroops. Esta vulnerabilidade funciona apenas se a rede do sistema alvo incluir falhas Cabos Ethernet no caminho dos agressores às vítimas.
Como funciona o Ethereumops
A equipe de pesquisa da Armis descrito que o ataque Etheroops é principalmente um ataque pacote a pacote. Esses ataques geralmente são usados quando os pacotes de rede são colocados uns dentro dos outros.
O caso mais externo é um pacote excelente, enquanto o interno carrega todos os códigos maliciosos ou vários comandos procurados. O caso mais externo é benigno e permite que a carga útil do ataque se mova com a ajuda da primeira proteção de rede, como firewalls ou outros produtos de segurança.
Embora os ataques ao gabinete interno sejam os dispositivos que estão dentro da rede, é por isso que o gabinete da rede não altera sua produção e dissipa seu “caso externo”.
Agora os cabos Ethernet defeituosos entram em ação, mas o cabo Ethernet defeituoso sofre uma intervenção elétrica indesejada e as partes internas do pacote real começam a virar. Esta ação começa a danificar lentamente a caixa mais externa e deixa a caixa mais interna ativa.
Pré-requisitos para um ataque bem-sucedido
Os pesquisadores de segurança afirmaram que existem alguns pré-requisitos para que este ataque seja bem-sucedido, e mencionamos abaixo as necessidades deste ataque passo a passo.
1) Envio de pacotes benignos através do Firewall/NAT
Esta etapa inclui o processo de envio de um fluxo de pacotes benignos, por um firewall/NAT.
2) A ocorrência de inversões de bits (ou: Cabos ruins)
Neste processo, espera-se que os bit-flips funcionem corretamente, pois requerem ocorrência aleatória nos cabos Ethernet de destino. Mas, quando os especialistas em segurança observaram diferentes segmentos de sua base instalada, observaram diferentes taxas de erro.
3) Manipulação de checksum (ou: Descobrir endereços MAC internos)
Este processo funciona após a ocorrência do cabo Ethernet, por isso uma ferramenta de checksum que está disponível nos cabeçalhos de enquadramento da Ethernet ajuda a identificar os arquivos corrompidos.
Ataque de proximidade baseado em EMP
Segundo os pesquisadores, o cabo Ethernet defeituoso tem um histórico de interferência eletromagnética (EMI). É por isso que os pesquisadores realizaram um experimento, que é um cabo que não está sendo protegido, conduzindo um sinal atenuado, e esse sinal se torna suscetível em níveis mais elevados de EMI.
Pode haver alguns dispositivos específicos que transmitem um pulso eletromagnético que pode criar esse tipo de perturbação, que são as armas EMP. Esses dispositivos usam vibrações de banda larga que ficam entre 100 MHz e 2 GHz para interferir em qualquer cabeamento, desde que 5 centímetros.
A célula interna que é o caso mais interno não é tão segura, pois contém todos os tipos de dados e comandos maliciosos.
Cenário de ataque com um clique
Neste cenário, os atores da ameaça conduzem o seu alvo a um site malicioso, que é controlado por eles, enviando aos objetivos um link malicioso. Depois que o usuário envia os pacotes de saída ao servidor controlado pelo invasor, ele obtém autorização para enviar uma onda de pacotes bons aos alvos que viajarão por toda a rede.
Cenário de ataque de proximidade com clique zero
Neste cenário de ataque, o fluxo de pacotes bons se move dentro das defesas de segurança do perímetro da rede (firewall/NAT) do usuário, e isso só será possível se o invasor conseguir enganar a resposta DNS do endereço IP do resolvedor DNS do usuário.
Todos esses procedimentos dependem do ator da ameaça, pois ele decide qual método preferirá entre todos esses vários métodos de cabo Ethernet.
Além disso, os pesquisadores de segurança estão encontrando todas as variantes para que os usuários possam conhecer perfeitamente os procedimentos EMI.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.