MKD-CIRT National Centre for Computer Incident Response
Новата рефлективна Denial-of-Service (DoS) ранливост во Service Location Protocol (SLP) им овозможува на хакерите да започнат масивни Denial-of-Service напади со 2200X поголема сила.
Овој недостаток, следен како CVE-2023-29552, беше откриен од страна на истражувачите во BitSight и Curesec, кои изјавија дека над 2.000 организации користат уреди што изложуваат приближно 54.000 експлоатирани SLP примероци за употреба во DDoS напади.
Ранливи услуги вклучуваат VMWare ESXi Hypervisors, Konica Minolta печатачи, IBM интегрирани модули за управување и Planex рутери распоредени од доверливи организации ширум светот.
Најранливи случаи се во Соединетите Американски Држави, Велика Британија, Јапонија, Германија, Канада, Франција, Италија, Бразил, Холандија и Шпанија, во сопственост на неколку компании на Fortune 1000 во технологија, телекомуникации, здравство, осигурување, финансии, угостителство и транспортот.
Service Location Protocol (SLP) е стар интернет протокол создаден во 1997 година за употреба во локални мрежи (LAN), овозможувајќи лесно поврзување и комуникација меѓу уредите кои користат систем на достапност на услугата преку UDP и TCP на портата 427.
Иако неговата намена никогаш не требаше да биде изложена на јавен интернет, организациите го изложија SLP на десетици илјади уреди во текот на годините.
„Service Location обезбедува механизам за динамична конфигурација за апликации во локални мрежи. Тоа не е глобален систем за резолуција за целиот Интернет, туку е наменет да им служи на мрежите на претпријатијата со споделени услуги“, стои во описот на протоколот.
Според BitSight, сите овие случаи се ранливи на CVE-2023-29552 (CVSS оцена: 8,6), што хакерите можат да го искористат за да започнат рефлектирачки DoS напади.
Поконкретно, пропустот им овозможува на неавтентицираните хакери да регистрираат произволни услуги на SLP серверот, манипулирајќи со содржината и големината на неговиот одговор за да постигнат максимален фактор на засилување од 2.200x.
Овие многу изложени сервери би можеле да им овозможат на хакерите да вршат масовни DDoS напади врз компании, владини ентитети и критични услуги за да ги направат недостапни или повеќе да не работат како што се очекуваше.
Поради критичната природа на овој пропуст, Агенцијата за сајбер-безбедност и инфраструктура (CISA) на Министерството за домашна безбедност на САД спроведе опширно информирање за потенцијално погодените продавачи за ранливоста.
DoS засилените напади вклучуваат испраќање барање со изворната IP адреса на жртвата на нападот до ранлив уред, дозволувајќи им на големината на податоците да се засили во злоупотребената услуга до максималната точка, а потоа објавување на одговорот до жртвата.
Обично, големината на типичен пакет за одговори од SLP сервер е помеѓу 48 и 350 бајти, така што без манипулации, факторот на засилување може да достигне до 12x.
Меѓутоа, со искористување на CVE-2023-29552, можно е да се зголеми големината на одговорот на UDP на серверот со регистрирање нови услуги додека не се наполни баферот за одговор.
Со ова, хакерите можат да постигнат максимален фактор на засилување од 2.200x, трансформирајќи мало барање од 29 бајти во огромен одговор од 65.000 бајти насочен кон жртвата.
„Овој екстремно висок фактор на засилување му овозможува на хакерот со недоволно ресурси да има значително влијание врз таргетираната мрежа и/или сервер преку рефлективен DoS напад“, предупредува извештајот на BitSight.
Во реално сценарио за напад, хакерот ќе искористи повеќе SLP примероци за да започне таков напад, координирајќи ги нивните одговори и преоптоварувајќи ги нивните жртви со масовен сообраќај.
За да ги заштитите средствата на вашата организација од потенцијална злоупотреба, SLP треба да се оневозможи на системи изложени на Интернет или на недоверливи мрежи.
Ако тоа е невозможно, се препорачува да се конфигурира заштитен ѕид што го филтрира сообраќајот на UDP и TCP портата 427, што е главниот запис за малициозното барање што ги искористува SLP услугите.
VMWare, исто така, објави билтен за ова прашање, појаснувајќи дека проблемот влијае само на постарите ESXi изданија кои повеќе не се поддржани, советувајќи ги администраторите да избегнуваат да ги изложуваат на недоверливи мрежи.
Извор: BleepingComputer
