Araştırmacılara göre, çeşitli kurumsal ürünler tarafından kullanılan eski bir İnternet protokolünde yeni keşfedilen, yüksek öneme sahip bir kusur, saldırganların dağıtılmış hizmet reddi (DDoS) saldırılarını 2.200 kata kadar artırmasına izin verebilir – şimdiye kadar kaydedilen en büyük güçlendirme saldırılarından biri kurmak.
CVE-2023-29552 olarak izlenen kusur, hala bazı yönlendiriciler, sanal makineler, yazıcılar ve diğer teknolojiler tarafından kullanılan, büyük ölçüde eskimiş bir ağ bulma protokolü olan Hizmet Konum Protokolü’nde (SLP) bulunuyor.
Bitsight’tan araştırmacılar Pedro Umbelino ve Curesec’ten Marco Lux ortaklaşa güvenlik açığını keşfettiler. yansıtıcı bir amplifikasyon saldırısına izin verdiğini söyledilerBitsight’tan Noah Stone tarafından 25 Nisan’da yayınlanan bir blog gönderisine göre.
“CVE-2023-29552, bir saldırganın sınırlı kaynakları olsa bile potansiyel olarak iş sürekliliğini etkileyebilecek ve mali kayıpla sonuçlanabilecek bir tehdittir” uyarısında bulundu.
Araştırmacılara göre, yansıtıcı güçlendirme DDoS saldırısında, bir tehdit aktörü tipik olarak kurbanın IP adresine karşılık gelen sahte bir kaynak IP adresine sahip bir sunucuya küçük istekler gönderiyor ve bu adrese isteklerden çok daha büyük yanıtlar topluyor. Bu, kurbanın sisteminde büyük miktarda trafik oluşturduğunu söylediler.
Stone, gönderisinde “Saldırgan, hedefe büyük miktarda trafik göndermek için – hedefe ait olması gerekmeyen – İnternet üzerindeki sistemleri kandırıyor” dedi.
Eski ama Kullanılmayan
SLP’nin yerini büyük ölçüde UPnP, mDNS/Zeroconf ve WS-Discovery gibi modern alternatifler almış olsa da, bir dizi ticari ürünler hala protokolü sunuyorCloudflare’den araştırmacılar, 25 Nisan’da yayınlanan keşifle ilgili bir blog gönderisinde şunları söyledi.
Buna rağmen, Şubat 2023’te Bitsight ve Curesec araştırmacıları, saldırganların VMware ESXi Hypervisor, Konica Minolta yazıcılar, Planex Router’lar, IBM Integrated Management Module (IMM) ve Supermicro IPMI dahil olmak üzere 2.000’den fazla küresel kuruluş ve 54.000’den fazla SLP eşgörünümü tespit etti. potansiyel olarak küresel kuruluşlara DoS saldırıları başlatmak için kötüye kullanabileceğini söylediler.
Ayrıca araştırmacılar, Fortune 1.000’de yer alan bazı kuruluşların SLP kusuruna karşı savunmasız örneklere sahip olduğunu belirlediler; potansiyel riskten en çok etkilenen ülke ABD, ardından Birleşik Krallık, Japonya, Almanya, Kanada, Fransa, İtalya, Brezilya geliyor. Hollanda ve İspanya.
Onun için, VMware, güvenlik açığı haberine yanıt verdi ve genel desteğin sonuna ulaşan 6.7 ve 6.5 gibi ESXi sürümlerinin gerçekten de kusurdan etkilendiğini kabul ederek, kendi açıklamasıyla bazı ürünlerinin etkilenebileceği olasılığı.
Şirket, “VMware, CVE-2023-29552’yi ele almak için en iyi seçeneğin, güvenlik açığından etkilenmeyen, desteklenen bir sürüm hattına yükseltme yapmak olduğunu öneriyor” dedi. VMware’e göre bu, ESXi’nin herhangi bir 7.x veya 8.x sürümünü içerir.
Şirket, “ESXi 7.0 U2c ve daha yenisi ve ESXi 8.0 GA ve daha yenisi, SLP hizmeti sağlamlaştırılmış, varsayılan olarak devre dışı bırakılmış ve ESXi güvenlik duvarı tarafından filtrelenmiş olarak gönderilir” dedi.
Bir Saldırıyı Güçlendirmek için SLP’den Yararlanma
Bitsight ve Curesec araştırmacıları, CVE-2023-29552’den yararlanan bir yansıtıcı güçlendirme DDoS saldırısının, kurbana gönderilen trafik miktarını önemli ölçüde artırmak için hizmet kaydıyla birlikte yansıtmayı kullanacağını açıkladı.
Bir SLP sunucusundan gelen tipik yanıt paketi boyutunun 48 ile 350 bayt arasında olduğunu söylediler. 29 baytlık bir istek alırsanız, yükseltme faktörü veya yanıtın istek büyüklüklerine oranı kabaca 1,6X ile 12X arasında olacaktır.
Ancak araştırmacılar, SLP’nin kimlik doğrulama gerektirmediğinden, kimliği doğrulanmamış bir kullanıcının keyfi yeni hizmetler kaydetmesine izin verdiğini söyledi. Bu, bir saldırganın sunucu yanıtının hem içeriğini hem de boyutunu değiştirebileceği anlamına gelir. Stone, nihai sonucun 2.200 kattan fazla bir maksimum büyütme faktörü olduğunu |”29 baytlık bir istek verildiğinde kabaca 65.000 baytlık yanıt nedeniyle” diye yazdı.
“Bu son derece yüksek güçlendirme faktörü, kaynakları yetersiz olan bir tehdit aktörünün, yansıtıcı bir DoS yükseltme saldırısı yoluyla hedeflenen bir ağ ve/veya sunucu üzerinde önemli bir etkiye sahip olmasına izin veriyor” diye yazdı.
DDoS’un Tehlikeleri
Bir kuruluşun iş yapma kabiliyetine zarar verebilecekleri finansal, itibar ve operasyonel zarara neden olan hizmet kesintilerine neden olabilecekleri için her zaman tehlikeli olan DDoS saldırıları, son yıllarda bir kez daha ön plana çıktı.
Bu kısmen, tehdit aktörlerinin onları iletişim ve askeri operasyonları bozmaya çalışmak için kullandıkları Ukrayna’daki çatışmada bilgisayar korsanları tarafından bir siber silah olarak kullanılmalarından kaynaklanmaktadır. Aslında, savaşın başladığı 2022’nin ilk yarısında, DDoS saldırılarının endişe verici bir sıklıkta görüldüğü görüldü ve Netscout, “DDoS Tehdit İstihbarat Raporu,” geçen yılın sonlarında yayınlandı.
Aslında, güvenlik açığının önemi ve SLP kusurunun kullanılmasından kaynaklanan potansiyel sonuçlar göz önüne alındığında, Bitsight ve Curesec araştırmacıları, kamuyu aydınlatma çabalarını ABD İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve etkilenen kuruluşlarla koordine etti.
Bitsight ayrıca iyileştirmeye yardımcı olmak için büyük BT hizmet yönetimi şirketlerindeki DoS ekipleriyle iletişim kurarken, CISA potansiyel olarak etkilenen satıcılara ve ayrıca yayın çıkarmak konuyla ilgili kendince.
Azaltma ve Savunma
SLP’yi destekleyen ve Internet’ten erişilebilen teknolojiyi kullanan kuruluşlar için, açıktan yararlanan saldırganlardan kaynaklanan riski azaltmak için bariz ama belki de elde edilmesi zor olan çözüm, etkilenen herhangi bir ürünü modern bir sürüme güncellemektir. SLP’yi kullanın.
Bu mümkün değilse araştırmacılar, doğrudan İnternet’e bağlı olanlar gibi güvenilmeyen ağlarda çalışan tüm sistemlerde SLP’nin devre dışı bırakılmasını önerdi. Bu bile mümkün değilse, kuruluşların güvenlik duvarlarını UDP ve TCP bağlantı noktası 427’deki trafiği filtreleyecek şekilde yapılandırması gerektiğini, bunun da harici saldırganların SLP hizmetine erişmesini engelleyeceğini söylediler.
Araştırmacılar ayrıca, kuruluşların erişimi yakından izleyen ve denetleyen, yalnızca yetkili kullanıcıların doğru ağ kaynaklarına erişmesine izin veren güçlü kimlik doğrulama ve erişim kontrolleri uygulaması gerektiğini söyledi.
Stone, “Kuruluşların ayrıca, SLP güvenlik açıklarını hafifletmeye yönelik prosedürleri ve ayrıca bir olay durumunda kullanıcılar ve paydaşlarla iletişim kurma prosedürlerini açıkça özetleyen bir olay müdahale planına sahip olması gerekir.”