Устаревший протокол, который не должен быть доступен в Интернете, имеет ошибку, которая позволяет использовать его для отраженных атак типа «отказ в обслуживании» (DoS), предупредило Управление кибербезопасности и безопасности инфраструктуры Америки.
Протокол локатора служб 1990-х годов (SLP, определенный в RFC-2165) был предназначен для помощи администраторам локальных сетей, позволяя системам автоматически обнаруживать сетевые службы (такие как хранилище, принтеры и т.п.).
Однако, как обнаружили Bitsight и Curesec, в Интернете доступны тысячи экземпляров RFC-2165, и SLP можно использовать для усиления DoS-атак, поскольку небольшой запрос к службе может вызвать гораздо больший ответ.
Отправив демону SLP 29-байтовый пакет, поддельный на IP-адрес жертвы, злоумышленник может получить ответ в 12 раз больше, до 350 байт.
Однако злоумышленник также может использовать процесс регистрации SLP, анонимно регистрируя новые службы на сервере. Это может привести к усилению до 2200 раз, генерируя ответы размером 65 000 байт.
«Этот чрезвычайно высокий коэффициент усиления позволяет субъекту угрозы с ограниченными ресурсами оказывать значительное влияние на целевую сеть и/или сервер с помощью отраженной DoS-атаки с усилением», — заявили в Bitsight.
Bitsight и Curesec заявили, что обнаружили в Интернете более 54 000 хостов, которые будут отвечать на запросы SLP, и, кроме того, существует более 670 продуктов, поддерживающих этот протокол.
SLP использует UDP через порт 427, поэтому блокировка порта может смягчить проблему.
Исследователи заявили, что поставщики с потенциально уязвимыми продуктами включают VMware, Konica Minolta, производителя маршрутизаторов Planex, IBM, SMC и других.
VMware предоставила ответ на ошибку, заявив, что поддерживаемые в настоящее время выпуски ESXi не затронуты, но могут быть версии с окончанием поддержки.
Ошибка получила обозначение CVE-2023-29552.
Оригинальная новость на сайте
