Vysoko závažná zraniteľnosť v protokole SLP vyvoláva obavy z doteraz najväčšieho potencionálu zosilnenia pre reflektovaný útok s cieľom vyvolať nedostupnosť služby (DoS), aký kedy bol zaznamenaný.

Zraniteľné systémy:

Medzi zraniteľné služby a zariadenia patria servery vystavené do internetu na platforme VMware ESXi Hypervisor, tlačiarne spoločnosti Konica Minolta, smerovače Planex a modul integrovanej správy IMM od spoločnosti IBM.

Medzi 10 najvýznamnejších krajín, v ktorých sa prípadná SLP zraniteľnosť preukázala patria Spojené štáty americké, Spojené kráľovstvo, Japonsko, Nemecko, Kanada, Francúzsko, Taliansko, Brazília, Holandsko a Španielsko.

Opis činnosti:

Protokol SLP, je protokol na zisťovanie služieb, ktorý umožňuje počítačom a iným zariadeniam nájsť služby v miestnej sieti bez predchádzajúcej konfigurácie. SLP bol určený iba pre lokálne siete (LAN) pre uľahčenie pripojenia a komunikáciu medzi zariadeniami pomocou systému dostupnosti služieb prostredníctvom UDP a TCP na porte 427.

CVE-2023-29552 (CVSS  8,6):

Zraniteľnosť dovoľuje neautentifikovanému útočníkovi vykonávať reflektívne amplifikované útoky DoS. Útočník môže zaregistrovať ľubovoľné služby na serveri SLP, a tak manipulovať s obsahom a veľkosťou jeho odpovede tak, aby sa dosiahol maximálny zosilňovací faktor 2 200x. Útočník takto na zraniteľnom systéme transformuje napríklad malú 29-bajtovú požiadavku na masívnu 65 000-bajtovú odpoveď, ktorú odošle na cieľ útoku.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Nedostupnosť služby (DoS)

Odporúčania:

Na zmiernenie hrozby sa používateľom odporúča vypnúť SLP v systémoch priamo pripojených na internet. Ak to nie je možné, odporúčame nastavenie firewallu na filtrovanie prenosu na porte UDP a TCP 427.

Spoločnosť VMWare vo svojom blogu vysvetľuje, ktoré verzie produktu ESXi sú imúnne voči hrozbe zneužitia zraniteľnosti v SLP protokole.

Vo všeobecnosti prísne bezpečnostné opatrenia a kontroly prístupu môžu znížiť riziko, že sa používatelia nechtiac zúčastnia na týchto typoch útokov.

Odkazy:

https://www.bleepingcomputer.com/news/security/new-slp-bug-can-lead-to-massive-2-200x-ddos-amplification-attacks/

https://www.bitsight.com/blog/new-high-severity-vulnerability-cve-2023-29552-discovered-service-location-protocol-slp

https://www.scmagazine.com/news/network-security/high-severity-slp-bug-amplified-dos-attacks

https://thehackernews.com/2023/04/new-slp-vulnerability-could-let.html

Zdroj: csirt.gov.sk