新的SLP漏洞可能导致攻击者发动2200倍的强大DDoS攻击
有关Service Location Protocol (SLP)的一项高危漏洞的细节已经浮出水面,该漏洞可能被用来对目标发起容量型拒绝服务攻击。BitSight和Curesec的研究人员Pedro Umbelino和Marco Lux在与The Hacker News分享的报告中表示:“利用这个漏洞,攻击者可以利用易受攻击的实例发起大规模的放大型拒绝服务攻击,攻击因子高达2200倍,可能是有记录以来最大的放大攻击之一。”
这个漏洞已被分配CVE-2023-29552标识符(CVSS分数:8.6),据说影响超过2,000个全球组织和超过54,000个可以通过互联网访问的SLP实例。这包括VMWare ESXi Hypervisor、Konica Minolta打印机、Planex路由器、IBM集成管理模块(IMM)、SMC IPMI和其他665种产品类型。
具有易受攻击的SLP实例的组织数量最多的前10个国家是美国、英国、日本、德国、加拿大、法国、意大利、巴西、荷兰和西班牙。
SLP是一种服务发现协议,它使计算机和其他设备能够在本地区域网络中查找打印机、文件服务器和其他网络资源等服务。
成功利用 CVE-2023-29552 可以让攻击者利用易受攻击的 SLP 实例发起反射放大攻击,用伪造的流量淹没目标服务器。
攻击者只需要在 UDP 端口 427 上找到一个 SLP 服务器并注册“服务,直到 SLP 拒绝更多条目”,然后反复伪造以受害者 IP 作为源地址的请求到该服务。
这种攻击可以产生高达 2200 的放大系数,导致大规模的 DoS 攻击。为了缓解这种威胁,建议用户在直接连接到互联网的系统上禁用 SLP,或者在 UDP 和 TCP 端口 427 上过滤流量。
“同样重要的是强制执行强大的身份验证和访问控制,只允许授权用户访问正确的网络资源,并密切监控和审计访问”,研究人员表示。
网络安全公司 Cloudflare 在一份咨询声明中表示,随着威胁行动家对这种新的 DDoS 放大矢量进行实验,预计基于 SLP 的 DDoS 攻击的普遍性将在未来几周内显著上升。
这一发现出现在 VMware SLP 实现中的一个现在被修复的两年老漏洞被与 ESXiArgs 勒索软件有关的行动者在今年早些时候的广泛攻击中利用。
具有易受攻击的SLP实例的组织数量最多的前10个国家是美国、英国、日本、德国、加拿大、法国、意大利、巴西、荷兰和西班牙。
SLP是一种服务发现协议,它使计算机和其他设备能够在本地区域网络中查找打印机、文件服务器和其他网络资源等服务。
成功利用 CVE-2023-29552 可以让攻击者利用易受攻击的 SLP 实例发起反射放大攻击,用伪造的流量淹没目标服务器。
攻击者只需要在 UDP 端口 427 上找到一个 SLP 服务器并注册“服务,直到 SLP 拒绝更多条目”,然后反复伪造以受害者 IP 作为源地址的请求到该服务。
这种攻击可以产生高达 2200 的放大系数,导致大规模的 DoS 攻击。为了缓解这种威胁,建议用户在直接连接到互联网的系统上禁用 SLP,或者在 UDP 和 TCP 端口 427 上过滤流量。
“同样重要的是强制执行强大的身份验证和访问控制,只允许授权用户访问正确的网络资源,并密切监控和审计访问”,研究人员表示。
网络安全公司 Cloudflare 在一份咨询声明中表示,随着威胁行动家对这种新的 DDoS 放大矢量进行实验,预计基于 SLP 的 DDoS 攻击的普遍性将在未来几周内显著上升。
这一发现出现在 VMware SLP 实现中的一个现在被修复的两年老漏洞被与 ESXiArgs 勒索软件有关的行动者在今年早些时候的广泛攻击中利用。
关于作者
评论4次
反射放大ddos真的是量大管饱。
好家伙,这个也太狠了吧
又是一个用来主要攻击西方国家的,等看看他们的对策吧。
我去,同一个漏洞在不同人手里有不同的效果