حملاتی ۲۲۰۰ برابر قوی‌تر از حملات DDoS توسط آسیب‌پذیری جدید SLP

جزئیاتی در مورد یک آسیب‌پذیری امنیتی با شدت بالا که بر پروتکل موقعیت مکانی سرویس ([۱]SLP) تأثیر می‌گذارد، ظاهر شده است که می‌تواند برای انجام حملات انکار سرویس حجمی علیه اهداف مورداستفاده قرار گیرد.

Pedro Umbelino و Marco Lux محققین Bitsight و Curesec در گزارشی که با The Hacker News به اشتراک گذاشته شد، می‌گویند[۲]: «مهاجمانی که از این آسیب‌پذیری بهره‌برداری می‌کنند، می‌توانند از نمونه‌های آسیب‌پذیر برای راه‌اندازی حملات گسترده تقویت انکار سرویس (DoS) با ضریب ۲۲۰۰ برابری استفاده کنند که به‌طور بالقوه آن را به یکی از بزرگ‌ترین حملات تقویتی که تاکنون گزارش شده تبدیل می‌کند.»

گفته می‌شود که این آسیب‌پذیری که شناسه CVE-2023-29552 (امتیاز ۶/۸ در مقیاس CVSS) را به خود اختصاص داده است، بیش از ۲۰۰۰ سازمان جهانی و بیش از ۵۴۰۰۰ نمونه SLP را که از طریق اینترنت در دسترس هستند تحت تأثیر قرار می‌دهد.

این شامل VMWare ESXi Hypervisor، پرینترهای Konica Minolta، روترهای Planex، ماژول مدیریت یکپارچه IBM (IMM)، SMC IPMI و ۶۶۵ نوع محصول دیگر است.

۱۰ کشور برتر با بیشترین سازمان‌هایی که موارد آسیب‌پذیر SLP را دارند، ایالات‌متحده، بریتانیا، ژاپن، آلمان، کانادا، فرانسه، ایتالیا، برزیل، هلند و اسپانیا هستند.

SLP یک پروتکل کشف سرویس است که به رایانه‌ها و سایر دستگاه‌ها امکان می‌دهد خدمات را در یک شبکه محلی مانند چاپگرها، سرورهای فایل و سایر منابع شبکه پیدا کنند.

بهره‌برداری موفقیت‌آمیز از CVE-2023-29552 می‌تواند به مهاجم اجازه دهد تا از نمونه‌های حساس SLP برای راه‌اندازی یک حمله تقویت بازتابی[۳] استفاده کند و یک سرور هدف را با ترافیک جعلی غرق کند.

برای انجام این کار، تنها کاری که مهاجم باید انجام دهد این است که یک سرور SLP را در پورت UDP 427 بیابد و «سرویس‌ها را تا زمانی که SLP ورودی‌های بیشتری را رد کند» ثبت کند، و به دنبال آن درخواست به آن سرویس را مکرراً با IP قربانی به‌عنوان آدرس منبع جعل کند[۴].»

حمله‌ای ازاین‌دست می‌تواند ضریب تقویتی تا ۲۲۰۰ برابر ایجاد کند که منجر به حملات DoS در مقیاس بزرگ می‌شود. برای کاهش خطر، به کاربران توصیه می‌شود SLP را در سیستم‌هایی که مستقیماً به اینترنت متصل هستند غیرفعال کنند، یا به‌جای آن، ترافیک UDP و پورت TCP 427 را فیلتر کنند.

محققان می‌گویند: «اجرای کنترل‌های احراز هویت و دسترسی قوی به همان اندازه مهم است که فقط به کاربران مجاز اجازه می‌دهد به منابع شبکه صحیح با نظارت دقیق و ممیزی دسترسی داشته باشند».

شرکت امنیت وب Cloudflare در گزارشی[۵] دراین‌باره گفت که “انتظار دارد شیوع حملات DDoS مبتنی بر SLP در هفته‌های آینده به‌طور قابل‌توجهی افزایش یابد” زیرا عوامل تهدید با بردار جدید تقویت DDoS آزمایش می‌کنند.

این آسیب‌پذیری همچنین توجه آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده (CISA) را به خود جلب کرده است، که در مورد حملات احتمالی با بهره‌برداری از SLP برای “انجام حملات DoS با فاکتور تقویت بالا با استفاده از آدرس‌های منبع جعلی” هشدار داده است.

این آژانس گفت[۶]: «پروتکل موقعیت مکانی سرویس (SLP، [۷]RFC 2608) به مهاجم از راه دور تأیید نشده اجازه می‌دهد تا خدمات دلخواه را ثبت کند. این می‌تواند به مهاجم اجازه دهد تا از ترافیک UDP جعلی[۸] برای انجام یک حمله انکار سرویس (DoS) با ضریب تقویت قابل‌توجهی استفاده کند.

این یافته‌ها زمانی به دست می‌آیند که یک نقص دوساله وصله شده در پیاده‌سازی SLP VMware توسط بازیگران مرتبط با باج‌افزار [۹]ESXiArgs در حملات گسترده در اوایل سال جاری مورد بهره‌برداری قرار گرفت.

ارائه‌دهنده خدمات مجازی‌سازی گفت که این نقص را بررسی کرده و تشخیص داده است که نسخه‌های ESXi (خطوط ESXi 7.x و ۸٫x) تحت تأثیر قرار نمی‌گیرند و این تنها نسخه‌های قدیمی‌تری را تحت تأثیر قرار می‌دهد که به پایان پشتیبانی عمومی (EoGS[10]) رسیده‌اند.

Edward Hawkins از VMware دراین‌باره گفت[۱۱]: «بهترین گزینه برای پرداختن به CVE-2023-29552، ارتقا به یک خط انتشار پشتیبانی شده است که تحت تأثیر آسیب‌پذیری قرار نگیرد. به‌جای ارتقاء به نسخه پشتیبانی شده، مدیران ESXi باید اطمینان حاصل کنند که هاست ESXi آن‌ها در معرض شبکه‌های غیرقابل‌اعتماد قرار نگرفته و همچنین SLP را غیرفعال کنند[۱۲].»

منابع

[۱] https://en.wikipedia.org/wiki/Service_Location_Protocol

[۲] https://www.bitsight.com/blog/new-high-severity-vulnerability-cve-2023-29552-discovered-service-location-protocol-slp

[۳] https://www.netscout.com/what-is-ddos/what-is-reflection-amplification-attack

[۴] https://www.cloudflare.com/learning/ddos/glossary/ip-spoofing/

[۵] https://blog.cloudflare.com/slp-new-ddos-amplification-vector/

[۶] https://www.cisa.gov/news-events/alerts/2023/04/25/abuse-service-location-protocol-may-lead-dos-attacks

[۷] https://www.rfc-editor.org/rfc/rfc2165.html

[۸] https://www.cisa.gov/news-events/alerts/2014/01/17/udp-based-amplification-attacks

[۹] https://thehackernews.com/2023/02/esxiargs-ransomware-hits-over-500-new.html

[۱۰] https://www.vmware.com/support/lifecycle-policies.html

[۱۱] https://blogs.vmware.com/security/2023/04/vmware-response-to-cve-2023-29552-reflective-denial-of-service-dos-amplification-vulnerability-in-slp.html

[۱۲] https://kb.vmware.com/s/article/76372

[۱۳] https://thehackernews.com/2023/04/new-slp-vulnerability-could-let.html