Μια νέα reflective ευπάθεια ενίσχυσης της Denial-of-Service (DoS) στο Service Location Protocol (SLP) επιτρέπει στους hackers να εξαπολύουν μαζικές επιθέσεις Denial-of-Service ενισχυμένη κατά 2.200 φορές.
Το CVE-2023-29552 εντοπίστηκε από ερευνητές των BitSight και Curesec, οι οποίοι ισχυρίζονται ότι πάνω από 2.000 επιχειρήσεις χρησιμοποιούν συσκευές που εκθέτουν περίπου 54.000 ευαίσθητες περιπτώσεις SLP για χρήση σε επιθέσεις ενίσχυσης DDoS.
Δείτε επίσης: Νέες παραλλαγές ShellBot DDoS Malware στοχεύουν ανεπαρκώς διαχειριζόμενους Linux servers
Οι ευάλωτες υπηρεσίες περιλαμβάνουν τα VMWare ESXi Hypervisors, τους εκτυπωτές Konica Minolta, τις ολοκληρωμένες μονάδες διαχείρισης IBM και τα routers Planex που χρησιμοποιούνται από ανυποψίαστους οργανισμούς σε όλο τον κόσμο.
Οι πιο ευάλωτες περιπτώσεις βρίσκονται στις Ηνωμένες Πολιτείες, τη Μεγάλη Βρετανία, την Ιαπωνία, τη Γερμανία, τον Καναδά, τη Γαλλία, την Ιταλία, τη Βραζιλία, τις Κάτω Χώρες και την Ισπανία, οι οποίες ανήκουν σε πολλές εταιρείες του Fortune 1000 στους τομείς της τεχνολογίας, των τηλεπικοινωνιών, της υγειονομικής περίθαλψης, της ασφάλισης, της χρηματοδότησης, της φιλοξενίας και των μεταφορών.
Η ευπάθεια SLP
Το Service Location Protocol (SLP) είναι ένα παλαιό πρωτόκολλο διαδικτύου που σχεδιάστηκε το 1997 για χρήση σε τοπικά δίκτυα (LAN), επιτρέποντας την εύκολη σύνδεση και επικοινωνία μεταξύ συσκευών μέσω ενός συστήματος διαθεσιμότητας υπηρεσιών με χρήση UDP και TCP στη θύρα 427.
Αν και δεν προοριζόταν ποτέ για δημόσια χρήση, οι οργανισμοί έχουν εκθέσει το SLP σε δεκάδες χιλιάδες συσκευές με την πάροδο των ετών.
Όλες αυτές οι περιπτώσεις, σύμφωνα με το BitSight, είναι ευάλωτες στο CVE-2023-29552 (CVSS score: 8.6), το οποίο οι δράστες μπορούν να χρησιμοποιήσουν για να εκτελέσουν reflective επιθέσεις ενίσχυσης DoS σε στόχους.
Η αδυναμία αυτή, ειδικότερα, επιτρέπει σε μη πιστοποιημένους δράστες να εγγράφουν αυθαίρετες υπηρεσίες στον server SLP, χειραγωγώντας το περιεχόμενο και το μέγεθος της απάντησής του, ώστε να επιτύχουν μέγιστο συντελεστή ενίσχυσης 2.200x.
Με τόσους πολλούς ευάλωτους servers, οι hackers μπορούν να εξαπολύσουν τεράστιες επιθέσεις DDoS σε επιχειρήσεις, κυβερνητικά ιδρύματα και βασικές υπηρεσίες, καθιστώντας τις μη διαθέσιμες ή μη λειτουργικές.
Λόγω της σημαντικής σημασίας αυτού του ελαττώματος, ο Οργανισμός Κυβερνοασφάλειας και Υποδομών (CISA) του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ έχει ξεκινήσει σημαντικές επαφές με πιθανώς ευάλωτες εταιρείες.
Ενίσχυση DoS
Οι επιθέσεις ενίσχυσης DoS περιλαμβάνουν την αποστολή ενός αιτήματος σε μια ευάλωτη συσκευή με τη διεύθυνση IP προέλευσης του στόχου, επιτρέποντας την ενίσχυση του μεγέθους των δεδομένων εντός της κακοποιημένης υπηρεσίας μέχρι το μέγιστο σημείο και στη συνέχεια, την αποδέσμευση της απάντησης στο θύμα.
Πρόταση: Εντοπίστηκε νέο Python backdoor που στόχευε VMware ESXi servers
Επειδή το μέγεθος ενός τυπικού πακέτου απάντησης από έναν server SLP είναι συνήθως μεταξύ 48 και 350 bytes, ο παράγοντας ενίσχυσης μπορεί να φτάσει έως και 12x.
Ωστόσο, με την καταχώρηση νέων υπηρεσιών μέχρι να γεμίσει ο buffer απάντησης, είναι εφικτό να επεκταθεί το μέγεθος της απάντησης UDP του server με την εκμετάλλευση του CVE-2023-29552.
Οι δράστες μπορούν να επιτύχουν μέγιστο συντελεστή ενίσχυσης 2.200x με αυτόν τον τρόπο, μετατρέποντας ένα μικροσκοπικό αίτημα 29 byte σε μια μεγάλη απάντηση 65.000 byte που απευθύνεται στο στόχο.
Σύμφωνα με την έρευνα της BitSight, “αυτός ο εξαιρετικά υψηλός παράγοντας ενίσχυσης επιτρέπει σε έναν hacker με ελάχιστους πόρους να έχει σημαντικό αντίκτυπο σε ένα στοχευμένο δίκτυο ή/και server μέσω μιας reflective ενισχυμένης επίθεσης DoS”.
Σε ένα πραγματικό σενάριο επίθεσης, ένας hacker μπορεί να ξεκινήσει μια τέτοια επίθεση χρησιμοποιώντας πολλές περιπτώσεις SLP, συντονίζοντας τις απαντήσεις τους και κατακλύζοντας τους στόχους του με τεράστια κίνηση.
Για να προστατεύσετε τα περιουσιακά στοιχεία του οργανισμού σας από πιθανή κατάχρηση, το SLP θα πρέπει να απενεργοποιείται σε συστήματα που εκτίθενται στο Διαδίκτυο ή σε μη αξιόπιστα δίκτυα.
Εάν αυτό είναι αδύνατο, συνιστάται η ρύθμιση παραμέτρων ενός firewall που φιλτράρει την κυκλοφορία στις θύρες UDP και TCP 427, η οποία αποτελεί την κύρια είσοδο για τα κακόβουλα αιτήματα που εκμεταλλεύονται τις υπηρεσίες SLP.
Η VMWare δημοσίευσε επίσης ένα δελτίο σχετικά με το θέμα, διευκρινίζοντας ότι το ζήτημα επηρεάζει μόνο παλαιότερες εκδόσεις ESXi που δεν υποστηρίζονται πλέον, συμβουλεύοντας τους διαχειριστές να αποφεύγουν την έκθεσή τους σε μη αξιόπιστα δίκτυα.
Διαβάστε επίσης: Το νέο botnet HinataBot θα μπορούσε να ξεκινήσει τεράστιες επιθέσεις DDoS
πηγή πληροφοριών:bleepingcomputer.com
 στο Service Location Protocol (SLP) επιτρέπει στους hackers να εξαπολύουν){kind=link}