Новая уязвимость SLP может позволить злоумышленникам осуществлять мощные DDoS-атаки.

26 апреля 2023 г. 10:57
 191

Появились подробности о серьезной уязвимости в протоколе Service Location Protocol (SLP), которая может быть использована для проведения объемных атак типа «отказ в обслуживании».

Появились подробности о серьезной уязвимости в протоколе Service Location Protocol (SLP), которая может быть использована для проведения объемных атак типа «отказ в обслуживании».

«Злоумышленники, использующие эту уязвимость, могут использовать уязвимые экземпляры для запуска массивных атак на отказ в обслуживании (DoS) с коэффициентом усиления до 2200 раз, что потенциально делает ее одной из крупнейших атак с усилением, о которых когда-либо сообщалось» - заявили исследователи Bitsight и Curesec Педро Умбелино и Марко Люкс в отчете, предоставленном The Hacker News.

Уязвимость, которой присвоен идентификатор CVE-2023-29552 (CVSS: 8.6), затрагивает более 2 000 глобальных организаций и более 54 000 экземпляров SLP, доступных через Интернет.

Сюда входят гипервизор VMWare ESXi, принтеры Konica Minolta, маршрутизаторы Planex, интегрированный модуль управления IBM (IMM), SMC IPMI и 665 других типов продуктов.

В десятку стран с наибольшим количеством организаций, имеющих уязвимые экземпляры SLP, входят США, Великобритания, Япония, Германия, Канада, Франция, Италия, Бразилия, Нидерланды и Испания.

SLP - это протокол обнаружения сервисов, который позволяет компьютерам и другим устройствам находить службы в локальной сети, такие как принтеры, файловые серверы и другие сетевые ресурсы.

Успешная эксплуатация CVE-2023-29552 может позволить злоумышленнику воспользоваться уязвимыми экземплярами SLP для запуска атаки усиления отражения и перегружать целевой сервер фиктивным трафиком.

Для этого злоумышленнику достаточно найти SLP-сервер на UDP-порту 427 и «зарегистрировать службы, пока SLP не запретит новые записи», после чего многократно подделать запрос к этой службе, указав в качестве адреса источника IP-адрес жертвы.

Подобная атака может дать коэффициент усиления до 2 200. Для защиты от этой угрозы пользователям рекомендуется отключить SLP на системах, напрямую подключенных к Интернету, или, в качестве альтернативы, фильтровать трафик на UDP и TCP порту 427.

«Не менее важно обеспечить строгую аутентификацию и контроль доступа, позволяя только авторизованным пользователям получать доступ к нужным сетевым ресурсам, при этом доступ должен тщательно контролироваться и проверяться» - заявили исследователи.

Компания Cloudflare, специализирующаяся на веб-безопасности, в своем сообщении заявила, что «ожидает значительного роста распространенности DDoS-атак на основе SLP в ближайшие недели», поскольку угрожающие стороны экспериментируют с новым вектором усиления DDoS.

Выводы были сделаны после того, как в начале этого года злоумышленники, связанные с шифровальщиком ESXiArgs, широко использовали исправленный дефект двухлетней давности в реализации SLP в VMware.

Источник: https://thehackernews.com

Системы Информационной Безопасности