安全研究人员在服务位置协议(SLP)中发现了一个高度严重的漏洞,可以利用该漏洞发起有史以来最大的DDoS放大攻击。
BitSight和curessec表示,CVSS 8.6级漏洞CVE-2023-29552可以使攻击者能够发起高达2200次的反射放大攻击。
SLP创建于1997年,作为局域网应用程序的动态配置机制,允许同一网络上的系统相互查找和通信。
虽然它不是为公共互联网而设计的,但研究人员发现它在全球2000多个组织和54000多个使用SLP的实例中运行,包括VMware ESXi管理程序、柯尼卡美能达打印机、Planex路由器、IBM集成管理模块(imm)、SMC IPMI等。
该公司表示:“鉴于该漏洞的严重性以及被利用可能造成的后果,Bitsight与美国国土安全部网络安全和基础设施安全局(CISA)以及受影响的组织协调了公开披露工作。”
Bitsight还与主要IT服务管理公司的拒绝服务团队合作,帮助进行补救。CISA对可能受到影响的供应商进行了广泛的接触。”
使用SLP实例最多的三个国家是美国、英国和日本。为了防止CVE-2023-29552,研究人员建议组织在不受信任的网络上运行的所有系统上禁用SLP,比如直接连接到互联网的系统。
如果他们不能做到这一点,防火墙应该配置为过滤UDP和TCP端口427的流量,以防止攻击者访问SLP。
放大攻击通过向具有与受害者IP相匹配的欺骗源IP地址的服务器发送小请求来工作。服务器对受害者IP的响应比请求大得多,使系统不堪重负。如果加上服务注册,这种攻击可能会更加严重。
来自SLP服务器的典型应答数据包大小在48到350字节之间。假设一个29字节的请求,在这种情况下,放大系数(应答与请求大小的比率)大致在1.6倍到12倍之间。”
然而,SLP允许未经身份验证的用户注册任意的新服务,这意味着攻击者可以操纵服务器回复的内容和大小,导致最大放大系数超过2200X,因为对于29字节的请求,大约65000字节的响应。