Servis Konumu Protokolünde (SLP) yeni bir yansıtıcı hizmet reddi (DOS) amplifikasyon güvenlik açığı, tehdit aktörlerinin 2.200x amplifikasyonla büyük hizmet reddi saldırıları başlatmasına izin verir.
CVE-2023-29552 olarak izlenen bu kusur, Bitsight ve Curesec'teki araştırmacılar tarafından keşfedildi ve 2.000'den fazla kuruluşun DDOS amplifikasyon saldırılarında kullanılmak üzere yaklaşık 54.000 sömürülebilir SLP örneğini ortaya çıkaran cihazlar kullandığını söylüyor.
Savunmasız hizmetler arasında VMware ESXI hipervizörleri, Konica Minolta yazıcıları, IBM Entegre Yönetim Modülleri ve dünya çapında şüpheli olmayan kuruluşlar tarafından dağıtılan Planex yönlendiricileri bulunmaktadır.
En savunmasız örnekler, teknoloji, telekomünikasyon, sağlık, sigorta, finans, konaklama ve birkaç Fortune 1000 şirketine ait olarak Amerika Birleşik Devletleri, Büyük Britanya, Japonya, Almanya, Kanada, Fransa, İtalya, Brezilya, Hollanda ve İspanya'da bulunmaktadır. toplu taşıma.
Servis Konumu Protokolü (SLP), 1997 yılında Yerel Alan Ağlarında (LAN) kullanım için oluşturulan eski bir İnternet protokolüdür, bu da 427 numaralı bağlantı noktasında UDP ve TCP aracılığıyla bir hizmet sistemi kullanarak cihazlar arasında kolay bağlantı ve iletişim sağlar.
Amaçlanan kullanımı hiçbir zaman kamu internette maruz kalmayacak olsa da, kuruluşlar yıllar boyunca on binlerce cihaza SLP'yi maruz bıraktılar.
Protokolün açıklamasını, "Servis konumu, yerel alan ağlarındaki uygulamalar için dinamik bir yapılandırma mekanizması sağlar. Tüm İnternet için küresel bir çözünürlük sistemi değildir; daha ziyade, kuruluş ağlarına paylaşılan hizmetlerle hizmet etmeyi amaçlamaktadır."
Bitsight'a göre, tüm bu örnekler, saldırganların hedeflere yansıtıcı DOS amplifikasyon saldırıları başlatmak için kullanabileceği CVE-2023-29552'ye (CVSS skoru: 8.6) savunmasızdır.
Daha spesifik olarak, kusur, yetkili olmayan saldırganların SLP sunucusuna keyfi hizmetler kaydetmesine izin vererek, maksimum 2.200x amplifikasyon faktörü elde etmek için cevabının içeriğini ve boyutunu değiştirir.
Bu maruz kalan bu sunucular, tehdit aktörlerinin şirketlere, devlet kuruluşlarına ve kritik hizmetlere ulaşılamaz veya artık beklendiği gibi çalışmaması için büyük DDOS saldırıları yapmalarına izin verebilir.
Bu kusurun eleştirel doğası nedeniyle, ABD İç Güvenlik Bakanlığı'nın Siber Güvenlik ve Altyapı Ajansı (CISA), potansiyel olarak etkilenen satıcıları güvenlik açığının bilgilendirmek için kapsamlı bir sosyal yardım gerçekleştirmiştir.
DOS amplifikasyon saldırıları, saldırının hedefinin kaynak IP adresi ile savunmasız bir cihaza bir istek gönderilmesini, istismar hizmeti içindeki verilerin boyutunun maksimum noktaya kadar yükselmesini ve ardından cevabı kurbana bırakmasını içerir.
Genellikle, bir SLP sunucusundan tipik bir yanıt paketinin boyutu 48 ila 350 bayt arasındadır, bu nedenle manipülasyon olmadan amplifikasyon faktörü 12x'e kadar ulaşabilir.
Ancak, CVE-2023-29552'den yararlanarak, yanıt arabelleği dolu olana kadar yeni hizmetleri kaydederek sunucunun UDP yanıt boyutunu artırmak mümkündür.
Bunu yaparak, saldırganlar maksimum 2.200x amplifikasyon faktörü elde edebilir ve 29 baytlık küçük bir talebi hedefe yönelik büyük bir 65.000 baytlık bir yanıta dönüştürebilir.
Bitsight raporu, "Bu son derece yüksek amplifikasyon faktörü, yetersiz kaynaklı bir tehdit aktörünün, yansıtıcı bir DOS amplifikasyon saldırısı yoluyla hedeflenen bir ağ ve/veya sunucu üzerinde önemli bir etkiye sahip olmasını sağlıyor."
Gerçek bir saldırı senaryosunda, bir tehdit oyuncusu böyle bir saldırı başlatmak, yanıtlarını koordine etmek ve hedeflerini büyük trafikle ezmek için birden fazla SLP örneğinden yararlanacaktır.
Kuruluşunuzun varlıklarını potansiyel istismardan korumak için SLP, İnternet'e veya güvenilmeyen ağlara maruz kalan sistemlerde devre dışı bırakılmalıdır.
Bu imkansızsa, SLP hizmetlerinden yararlanan kötü niyetli istek için ana giriş olan UDP ve TCP bağlantı noktası 427'deki trafiği filtreleyen bir güvenlik duvarı yapılandırılması önerilir.
VMware ayrıca konuyla ilgili bir bülten yayınladı ve sorunun yalnızca artık desteklenmeyen eski ESXI sürümlerini etkilediğini ve yöneticilere güvenilmeyen ağlara maruz kalmamalarını tavsiye ettiğini açıkladı.
Akamai, Asya'da rekor kıran 900Gbps DDOS saldırısını azaltıyor
GRE Tünellerini kullanarak toplanmış sunucuları DDOS saldırılarından korumak
Clop, Papercut Server Saldırılarının Arkasında Lockbit Fidye Yazılımı Çeteleri
Prestashop, herhangi bir arka uç kullanıcının veritabanlarını silmesini sağlayan hatayı düzeltir
Cisco, sunucu yönetimi aracında XSS sıfır gün kusurunu açıklar
Kaynak: Bleeping Computer