Vysoko závažná zraniteľnosť v protokole SLP vyvoláva obavy z doteraz najväčšieho potencionálu zosilnenia pre reflektovaný útok s cieľom vyvolať nedostupnosť služby (DoS), aký kedy bol zaznamenaný.
Zraniteľné systémy:
Medzi zraniteľné služby a zariadenia patria servery vystavené do internetu na platforme VMware ESXi Hypervisor, tlačiarne spoločnosti Konica Minolta, smerovače Planex a modul integrovanej správy IMM od spoločnosti IBM.
Medzi 10 najvýznamnejších krajín, v ktorých sa prípadná SLP zraniteľnosť preukázala patria Spojené štáty americké, Spojené kráľovstvo, Japonsko, Nemecko, Kanada, Francúzsko, Taliansko, Brazília, Holandsko a Španielsko.
Opis činnosti:
Protokol SLP, je protokol na zisťovanie služieb, ktorý umožňuje počítačom a iným zariadeniam nájsť služby v miestnej sieti bez predchádzajúcej konfigurácie. SLP bol určený iba pre lokálne siete (LAN) pre uľahčenie pripojenia a komunikáciu medzi zariadeniami pomocou systému dostupnosti služieb prostredníctvom UDP a TCP na porte 427.
CVE-2023-29552 (CVSS 8,6):
Zraniteľnosť dovoľuje neautentifikovanému útočníkovi vykonávať reflektívne amplifikované útoky DoS. Útočník môže zaregistrovať ľubovoľné služby na serveri SLP, a tak manipulovať s obsahom a veľkosťou jeho odpovede tak, aby sa dosiahol maximálny zosilňovací faktor 2 200x. Útočník takto na zraniteľnom systéme transformuje napríklad malú 29-bajtovú požiadavku na masívnu 65 000-bajtovú odpoveď, ktorú odošle na cieľ útoku.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Nedostupnosť služby (DoS)
Odporúčania:
Na zmiernenie hrozby sa používateľom odporúča vypnúť SLP v systémoch priamo pripojených na internet. Ak to nie je možné, odporúčame nastavenie firewallu na filtrovanie prenosu na porte UDP a TCP 427.
Spoločnosť VMWare vo svojom blogu vysvetľuje, ktoré verzie produktu ESXi sú imúnne voči hrozbe zneužitia zraniteľnosti v SLP protokole.
Vo všeobecnosti prísne bezpečnostné opatrenia a kontroly prístupu môžu znížiť riziko, že sa používatelia nechtiac zúčastnia na týchto typoch útokov.
Odkazy:
https://www.scmagazine.com/news/network-security/high-severity-slp-bug-amplified-dos-attacks
https://thehackernews.com/2023/04/new-slp-vulnerability-could-let.html
Zdroj: csirt.gov.sk