Amerika’nın Siber ve Altyapı Güvenlik İdaresi, internete maruz kalmaması gereken eski bir protokolde, yansıyan hizmet reddi (DoS) yükseltme saldırıları için kullanılmasına izin veren bir hata olduğu konusunda uyardı.
1990’lardan kalma Hizmet Bulucu Protokolü (RFC-2165’te tanımlanan SLP), sistemlerin ağ servisini (depolama, yazıcılar ve benzerleri gibi) otomatik olarak keşfetmesine izin vererek yerel alan ağ yöneticilerine yardımcı olmayı amaçlıyordu.
Bununla birlikte, Bitsight ve Curesec’in keşfettiği gibi, internete maruz kalan binlerce RFC-2165 örneği var ve hizmete yönelik küçük bir sorgu çok daha büyük bir yanıtı tetikleyebileceğinden, SLP’den DoS saldırılarını artırmak için yararlanılabilir.
Saldırgan, kurbanın IP adresine sahte olarak gönderilen 29 baytlık bir paketi bir SLP arka plan programına göndererek, 350 bayta kadar 12 kat daha büyük bir yanıt alabilir.
Ancak saldırgan, yeni hizmetleri sunucuya anonim olarak kaydederek SLP’nin kayıt sürecinden de yararlanabilir. Bu, 65.000 baytlık yanıtlar üreterek 2200 kata kadar bir amplifikasyon sağlayabilir.
Bitsight, “Bu son derece yüksek yükseltme faktörü, kaynakları yetersiz olan bir tehdit aktörünün, yansıtıcı bir DoS yükseltme saldırısı yoluyla hedeflenen bir ağ ve/veya sunucu üzerinde önemli bir etkiye sahip olmasına izin veriyor.” dedi.
Bitsight ve Curesec, internette SLP isteklerine yanıt verecek 54.000’den fazla ana bilgisayar bulduklarını ve ayrıca protokolü konuşan 670’den fazla ürün olduğunu söyledi.
SLP, 427 numaralı bağlantı noktası üzerinden UDP kullanır, bu nedenle bağlantı noktasının engellenmesi sorunu azaltabilir.
Araştırmacılar, güvenlik açığı bulunan ürünlere sahip satıcıların arasında VMware, Konica Minolta, yönlendirici satıcısı Planex, IBM, SMC ve diğerlerinin yer aldığını söyledi.
VMware, şu anda desteklenen ESXi sürümlerinin etkilenmediğini, ancak destek sonu sürümlerinin etkilenebileceğini söyleyerek hataya bir yanıt sağladı.
Hata, CVE-2023-29552 olarak adlandırıldı.