DDoS Koruması , Yönetişim ve Risk Yönetimi , Eski Altyapı Güvenliği
Hizmet Yeri Protokolü, Sorguları 2.200 Kez Artırır
Prajeet Nair (@prajeetspeaks) •
26 Nisan 2023
1990’larda kodlanan belirsiz bir yönlendirme protokolü, araştırmacıların saldırganların büyük dağıtılmış hizmet reddi saldırıları başlatmasına izin verecek bir kusur bulmasının ardından dikkatleri üzerine çekti. Bitsight ve Curesec’ten araştırmacılar, Hizmet Konumu Protokolü’nde bir hata bulduklarını söylüyorlar.
Ayrıca bakınız: Güvenlik Ekipleri Kısıtlı Bütçeleri Nasıl Aşabilir?
Sun Microsystems yöneticilerinin ve artık feshedilmiş bir internet servis sağlayıcısının buluşu olan Service Location Protocol, kapalı bir kurumsal ağdaki yazıcılar gibi kaynakları keşfetmenin dinamik bir yöntemi olarak tasavvur edildi.
Bitsight ve Curesec’ten araştırmacılar, CVE-2023-29552 olarak izlenen protokolde, saldırganların çok büyük bir yanıtı kandırmasına olanak tanıyan bir kusuru ortaya çıkardı. Araştırmacılar, 29 baytlık basit bir isteğin 2.200 kat daha büyük bir yanıtla sonuçlanabileceğini ve kusurun DDoS yükseltme saldırıları başlatan saldırganlar için iyi bir aday olduğunu söyledi.
Saldırganlar, bir hedefin IP adresini yanıltarak, bir kurbanın bilgi işlem kaynaklarını aşmak için dev bir Hizmet Konum Protokolü dalgası gönderebilir.
Hizmet Yeri Protokolünün internete açık olması gerekmiyor, ama öyle. SLP trafiğini kabul eden ağa bağlı kaynakları arayan araştırmacılar, dünya çapındaki kuruluşlara ait 54.000’den fazla çevrimiçi kaynak buldu. Bitsight ve Curesec, etkilenen cihazlar arasında Konica Minolta yazıcılar, Planex Router’lar ve IBM Entegre Yönetim Modülü olduğunu söyledi. Bulgulara yanıt olarak VMware, şu anda desteklenen ESXi hipervizörlerinin kusurdan etkilenmediğini, ancak “genel desteğin sonuna ulaşan sürümlerin” etkilendiğini söyledi.
ABD Siber Güvenlik ve Altyapı Dairesi, çevrimiçi SLP cihazlarının çoğunun daha eski göründüğünü ve büyük olasılıkla terk edildiğini söyledi.
Araştırmacılar, bir SLP sunucusundan gelen tipik bir yanıt paketi boyutunun 48 ila 350 bayt arasında olduğunu yazdı. Bu, meşru bir yanıt için tipik ağ trafiği büyütme faktörünün, talepten yaklaşık 12 kat daha fazla olduğu anlamına gelir.
Ortaya çıkarılan kusur, kimliği doğrulanmamış bir kullanıcının rasgele yeni hizmetler kaydetmesine izin verir; bu, “bir saldırganın sunucu yanıtının hem içeriğini hem de boyutunu değiştirebileceği anlamına gelir.” İşte o zaman, SLP’nin geri getirebileceği 65.000 baytlık yanıt nedeniyle yükseltme faktörü 2.200 kata kadar yükselir.
Bitsight ve Curesec, SLP sunucularının bir kullanıcı tarafından istismar edilmediğinden emin olmak için kuruluşların, internete bakanlar gibi güvenilmeyen ağlarda çalışan tüm sistemlerde SLP’nin devre dışı bırakıldığından emin olmaları gerektiğini söyledi. Bu başarısız olursa, sistem yöneticileri güvenlik duvarını, Hizmet Konumu Protokolü için İnternet Atanmış Numara Yetkilisi tarafından atanan varsayılan bağlantı noktası olan 427 numaralı bağlantı noktasındaki trafiği filtreleyecek şekilde yapılandırmalıdır.