Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bir rapor yayınladı Hizmet Konum Protokolü’ndeki (SLP) bir güvenlik açığından yararlanılarak başlatılabilecek DoS saldırıları hakkında uyarı. CVE-2023-29552’nin kötüye kullanılması, keyfi hizmetlerin kaydedilmesinde siber suçlulara erişim sağlayabilir.
SLP’deki güvenlik açığı (RFC 2608)
SLP’deki (RFC 2608) bu yüksek önem dereceli güvenlik açığı, 2200 kez yüksek bir faktörle büyük Hizmet Reddi yükseltme saldırılarına yol açabilir. 2200 katlık bir faktör, onu tüm zamanların en büyük güçlendirme saldırılarından biri yapar.
Hizmet Konum Protokolü, paylaşılan hizmetler için yerel alan ağlarında ağ hizmetlerinin bulunmasına yardımcı olan eski bir internet protokolüdür. Yazıcılar, akıllı ışıklar ve dosya paylaşımları vb. ile bağlantı kurmanıza yardımcı olabilir.
SLP’deki güvenlik açığından yararlanma
Siber suçlular, DoS saldırılarına neden olmak için sahte UDP trafiğini kullanabilir. CISA ayrıca, günümüzde görünen hizmetlerin çoğu terk edilmiş sistemler olduğundan, kuruluşlara SLP sunucularına bağlanmayı devre dışı bırakmalarını tavsiye etti. Şubat 2023’te bulunan SLP eşgörünümlerini yansıtan bir Bitsight blog gönderisinde şöyle yazıyordu: “2.000’in üzerinde küresel kuruluş ve VMware ESXi Hipervizör, Konica Minolta yazıcılar, Planex Yönlendiriciler, IBM Entegre Yönetim Modülü, SMC IPMI ve diğerleri dahil olmak üzere 54.000’in üzerinde SLP eşgörünümü belirledik. ”
Bu tür örnekler, siber suçlular tarafından hedeflenen ağlardaki hizmetleri bozmak için kolayca kötüye kullanılabilir. Amerika Birleşik Devletleri’ndeki hükümetleri ve yasal kurumları uyarmak için Bitsight, bu bilgileri onlarla paylaştı ve ayrıca BT hizmet yönetimi şirketlerindeki DoS ekiplerini öngörülemeyen olayları önlemek için çalışmaya çağırdı.
SLP’deki bu güvenlik açığını keşfetmesinin ardından CISA, daha fazla hasarı önlemek için potansiyel olarak etkilenen satıcıları uyarmak için girişimde bulundu.
SLP’deki güvenlik açığının VMware üzerindeki etkileri
Etkilenen cihazlardan bahseden VMware, şu anda desteklenen ESXi sürümlerinin (ESXi 7 .x ve 8 .x hatları) hiçbirinin SLP’deki güvenlik açığından etkilenmediğini doğrulayan bir blog gönderisi yayınladı. Ancak, 6.7 ve 6.5 dahil olmak üzere genel destek (EOGS) ömrünün sonuna gelen ürünlerde kötüye kullanım örnekleri bulundu.
Kullanıcılardan, cihazlarını SLP’deki güvenlik açığından etkilenmeyen bir sürüme yükseltmeleri istenmektedir.
Eski cihazların ve ürünlerin kullanılması
Eski yazılım ve sistemler, şirketten minimum düzeyde veya hiç teknik veya genel destek almaz. Bu tür yazılımların özellikle büyük kuruluşlarda kullanılması, cihazları hacklemek için boşluk arayan bilgisayar korsanlarına kapı açabilir. Moreso, yama uygulanmamış güvenlik açıklarının yokluğunda.
Önleyici ve koruyucu siber en iyi uygulamaları güçlendirmek için Microsoft’taki 7.8 ve 8.1 gibi eski işletim sistemleri sürümleri ve diğer yazılımlar ele alınmalı ve yenileriyle değiştirilmelidir.