Эксперты BitSight и Curesec предупредили об уязвимости CVE-2023-29552 (8,6 балла по шкале CVSS), обнаруженной в протоколе SLP (Service Location Protocol, «Протокол обнаружения сервисов»), которая позволяет усиливать DDoS-атаки примерно в 2200 раз. По данным исследователей, более 2000 организаций раскрывают в интернете 54 000 уязвимых серверов с SLP, которые могут стать мишенями хакеров.
В числе уязвимых сервисов входят гипервизоры VMWare ESXi, принтеры Konica Minolta, IBM IMM (Integrated Management Modules) и маршрутизаторы Planex, работающие по всему миру. Больше всего уязвимых девайсов было обнаружено в США, Великобритании, Японии, Германии, Канаде, Франции, Италии, Бразилии, Нидерландах и Испании. Они принадлежат ряду компаний из списка Fortune 1000, работающих в области технологий, телекоммуникаций, здравоохранения, страхования, финансов, гостиничного бизнеса и транспорта.
SLP был создан в 1997 году для использования в локальных сетях. Он позволяет компьютерам и иным устройствам находить сервисы в локальной сети без предварительной конфигурации через UDP и TCP на порту 427.
Хотя исходно не предполагалось, что он когда-либо будет использоваться в общедоступном интернете, за прошедшие годы компании и организации «выставили» в сеть десятки тысяч устройств с SLP. По информации экспертов BitSight, все они уязвимы перед CVE-2023-29552, которую злоумышленники могут использовать для амплификации DDoS-атак.
Уязвимость позволяет неаутентифицированным злоумышленникам регистрировать произвольные сервисы на сервере SLP, манипулируя содержимым и размером ответа для достижения максимального коэффициента усиления (до 2200 раз).
Обычно размер типичного ответного пакета от SLP-сервера составляет от 48 до 350 байт, что дает коэффициент усиления равный 12. Однако, используя CVE-2023-29552, можно увеличить размер ответа UDP сервера, продолжая регистрировать новые службы до тех пор, пока буфер ответов не будет переполнен. Таким образом злоумышленники могут добиться максимального коэффициента усиления в 2200 раз, преобразуя крошечный 29-байтовый запрос в массивный 65000-байтовый ответ, направленный на жертву.
Так как количество уязвимых серверов огромно, хакеры смогут устраивать массовые DDoS-атаки на компании, государственные учреждения и критически важные службы. В силу критического характера этой уязвимости, специалисты Агентства по инфраструктуре и кибербезопасности США (CISA) уже выпустили собственный бюллетень безопасности, чтобы проинформировать потенциально затронутых вендоров об угрозе.
Чтобы защититься от возможных атак, рекомендуется отключить SLP в системах, подключенных к интернету или недоверенным сетям. Если это невозможно, рекомендуется настроить брандмауэр, фильтрующий UDP- и TCP-трафик на порту 427, который является основной точкой входа для вредоносных запросов.
Также нужно отметить, что VMWare уже подготовила свой бюллетень безопасности по этому вопросу, пояснив, что уязвимость затрагивает только старые версии ESXi, которые более не поддерживаются.
Компания Cloudflare, в свою очередь, предупреждает, что DDoS-атаки с использованием SLP должны значительно возрасти в ближайшие недели, поскольку злоумышленники будут экспериментировать с новым вектором усиления.