Hizmet Konum Protokolü’nün (SLP) yeni bir yansıtıcı Hizmet Reddi (DoS) büyütme güvenlik açığına sahip olduğu bulundu.
Tehdit aktörleri, 2.200X’lik şaşırtıcı bir artışla kapsamlı DDoS saldırıları gerçekleştirmek için bu güvenlik açığından yararlanabilir.
BitSight ve Curesec’teki araştırmacılar, güvenlik açığını 2.000’den fazla kuruluş tarafından kullanılan yaklaşık 54.000 istismar edilebilir SLP örneğini ortaya çıkaran “CVE-2023-29552” olarak izledi.
Tehdit aktörleri, DDoS güçlendirme saldırıları gerçekleştirmek için bu örneklerden yararlanabilir. Dünya çapındaki kuruluşlar, bilmeden savunmasız cihazları konuşlandırdı ve burada aşağıda bahsediliyor: –
Savunmasız SLP Örnekleri
Aşağıda, en savunmasız örneklere sahip tüm ülkelerden bahsetmiştik:-
- Birleşik Devletler
- Büyük Britanya
- Japonya
- Almanya
- Kanada
- Fransa
- İtalya
- Brezilya
- Hollanda
- ispanya
Buradaki en heyecan verici şey, aşağıdaki sektörlerde bu savunmasız örnekleri kullanan birkaç Fortune 1000 şirketi veya kuruluşu olmasıdır:-
- teknoloji
- telekomünikasyon
- Sağlık hizmeti
- Sigorta
- finans
- misafirperverlik
- Toplu taşıma
Teknik Analiz
SLP, temel olarak, 1997’de tanıtılan eski bir internet protokolü olan LAN üzerindeki cihazlar arasındaki iletişimi ve bağlantıyı kolaylaştırır.
Bunu, UDP ve TCP kullanarak 427 numaralı bağlantı noktasında çalışan bir hizmet kullanılabilirliği sistemi aracılığıyla gerçekleştirirken, kuruluşlar, yıllar içinde hiçbir zaman halka açık internette ifşa edilmek üzere tasarlanmamış on binlerce cihazda SLP’yi açığa çıkardı. Rapor diyor.
CVSS puanı 8,6 olan CVE-2023-29552, istismara açık tüm bulut sunucularını etkileyen bir güvenlik açığıdır.
Tehdit aktörleri, hedeflenen varlıklara karşı yansıtıcı DoS büyütme saldırıları gerçekleştirmek için tüm bu savunmasız örneklerden yararlanabilir.
Güvenlik açığından başarılı bir şekilde yararlanılması durumunda, kimliği doğrulanmamış saldırganlar, isteğe bağlı hizmetleri kaydederek SLP sunucusunu manipüle edebilir.
Bu, sunucu yanıtının içeriğini ve boyutunu değiştirmelerine ve büyük bir DoS yükseltme saldırısı gerçekleştirmelerine olanak tanır.
Ayrıca CISA, savunmasız satıcıları kusurun ciddiyeti hakkında bilgilendirmek için uzandı. DoS saldırıları, KOBİ’lere ortalama 120.000 ABD dolarına mal olur ve daha büyük işletmeler, daha yüksek kesinti maliyetleri nedeniyle daha da önemli mali kayıplarla karşı karşıya kalır.
Tipik ve Yansıtıcı DoS Amplifikasyon Saldırısı
Aşağıda, Tipik bir yansıtıcı DoS güçlendirme saldırısını içeren temel adımlardan bahsetmiştik:-
- Adım 1: Saldırgan, UDP bağlantı noktası 427’de bir SLP sunucusu bulur.
- Adım 2: Saldırgan, kaynak olarak kurbanın IP’sini kullanarak söz konusu hizmete sahte bir istek gönderir.
- Adım 3: Saldırgan, saldırı devam ettiği sürece ikinci adımı tekrarlar.
Aşağıda, CVE-2023-29552’den yararlanan bir Yansıtıcı DoS yükseltme saldırısını içeren adımlardan bahsetmiştik:-
- Adım 1: Saldırgan, UDP bağlantı noktası 427’de bir SLP sunucusu bulur.
- Adım 2: Saldırgan, SLP daha fazla girişi reddedene kadar hizmetleri kaydeder.
- Adım 3: Saldırgan, kaynak olarak kurbanın IP’sini kullanarak söz konusu hizmete sahte bir istek gönderir.
- Adım 4: Saldırgan, saldırı devam ettiği sürece üçüncü adımı tekrarlar.
Tehdit aktörleri, gerçek bir saldırıyı koordine etmek için birden çok SLP örneğini kullanabilir; böyle yaparak; hedeflerini büyük bir trafikle doldurabilirler.
Öneri
Kuruluşunuzun varlıklarını potansiyel istismardan korumak için aşağıdaki öneriler izlenmelidir:-
- Açığa çıkan sistemlerde SLP’yi devre dışı bıraktığınızdan emin olun.
- UDP ve TCP bağlantı noktası 427’deki trafiği filtreleyeceğinden, bir güvenlik duvarını düzgün şekilde yapılandırdığınızdan emin olun.
- Kuruluşların yerinde bir olay müdahale planı olmalıdır.
- Tüm güçlü güvenlik önlemlerinin ve erişim kontrollerinin uygulandığından emin olun.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
