SLP-kwetsbaarheid kan dos-aanvallen met factor 2200 versterken

[Captain Kirk]

Een kwetsbaarheid in het Service Location Protocol (SLP) maakt het mogelijk om dos-aanvallen met een factor 2200 te versterken, zo waarschuwen onderzoekers van Bitsight en Curesec. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties op om kennis van de kwetsbaarheid te nemen, die wordt aangeduid als CVE-2023-29552. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.6.

De onderzoekers die het probleem ontdekten claimen dat er meer dan 54.000 kwetsbare SLP-instances op internet zijn te vinden, die eigendom van meer dan tweeduizend organisaties zijn. Het gaat onder andere om VMware ESXi Hypervisor, Konica Minolta-printers, Planex-routers, IBM Integrated Management Module (IMM), SMC IPMI en andere systemen die kwetsbaar zijn.

Het uit 1997 stammende SLP-protocol biedt een dynamisch configuratiemechanisme voor het configureren van applicaties in lokale netwerken. SLP maakt het mogelijk voor systemen op een netwerken om elkaar te vinden en met elkaar te communiceren. Hiervoor gebruikt het een directory van beschikbare services, zoals printers, file servers en andere netwerkvoorzieningen. Systemen kunnen zichzelf via een directory agent registreren, waarna de services van dit systeem voor andere systemen op het netwerk beschikbaar worden.

SLP was niet ontwikkeld om vanaf het internet toegankelijk te zijn. Het protocol is echter in allerlei instances aangetroffen die wel vanaf het internet zijn te bereiken. Onderzoekers van Bitsight en Curesec ontdekten dat het via SLP mogelijk is om een "denial of service amplification" aanval uit te voeren. Een ongeauthenticeerde aanvaller kan willekeurige nieuwe services registreren. Hierbij spooft de aanvaller zijn ip-adres en geeft het ip-adres van het slachtoffer op waar hij de dos-aanval op wil uitvoeren. Met een request van slechts 29 bytes kan een aanvaller via SLP een response van 65.000 bytes genereren. Deze data wordt vervolgens naar het gespoofte ip-adres gestuurd.

De onderzoekers vonden allerlei systemen en producten waar SLP actief in is en aanvallers hier misbruik van kunnen maken. In de top tien van landen met de meeste kwetsbare SLP-instances komt ook Nederland voor. VMware heeft inmiddels een advisory voor de kwetsbaarheid uitgebracht en adviseert om SLP uit te schakelen. Ook de onderzoekers adviseren dit. In het geval dit niet mogelijk is wordt aangeraden om via firewalling verkeer op UDP- en TCP-poort 427 te filteren, aangezien dit voorkomt dat externe aanvallers toegang tot de SLP-service kunnen krijgen.

 

bron: https://www.security.nl