Araştırmacılara göre, çeşitli kurumsal ürünler tarafından kullanılan eski bir İnternet protokolünde yeni keşfedilen, yüksek öneme sahip bir kusur, saldırganların dağıtılmış hizmet reddi (DDoS) saldırılarını 2.200 kata kadar artırmasına izin verebilir – şimdiye kadar kaydedilen en büyük güçlendirme saldırılarından biri kurmak.
CVE-2023-29552 olarak izlenen kusur, hala bazı yönlendiriciler, sanal makineler, yazıcılar ve diğer teknolojiler tarafından kullanılan, büyük ölçüde eskimiş bir ağ bulma protokolü olan Hizmet Konum Protokolü’nde (SLP) bulunuyor.
Bitsight’tan Noah Stone tarafından 25 Nisan’da yayınlanan bir blog gönderisine göre, Bitsight’tan araştırmacılar Pedro Umbelino ve Curesec’ten Marco Lux ortaklaşa güvenlik açığını keşfettiler ve bunun yansıtıcı güçlendirme saldırısına izin verdiğini söylediler.
“CVE-2023-29552, bir saldırganın sınırlı kaynakları olsa bile potansiyel olarak iş sürekliliğini etkileyebilecek ve mali kayıpla sonuçlanabilecek bir tehdittir” uyarısında bulundu.
Araştırmacılara göre, yansıtıcı güçlendirme DDoS saldırısında, bir tehdit aktörü tipik olarak kurbanın IP adresine karşılık gelen sahte bir kaynak IP adresine sahip bir sunucuya küçük istekler gönderiyor ve bu adrese isteklerden çok daha büyük yanıtlar topluyor. Bu, kurbanın sisteminde büyük miktarda trafik oluşturduğunu söylediler.
Stone, gönderisinde “Saldırgan, hedefe büyük miktarda trafik göndermek için – hedefe ait olması gerekmeyen – İnternet üzerindeki sistemleri kandırıyor” dedi.
Eski ama Kullanılmayan
Cloudflare araştırmacıları, keşifle ilgili 25 Nisan’da yayınlanan bir blog gönderisinde, SLP’nin yerini büyük ölçüde UPnP, mDNS/Zeroconf ve WS-Discovery gibi modern alternatifler almış olsa da, bir dizi ticari ürünün hala protokolü sunduğunu söyledi. kimlik doğrulama yöntemi yok ve bu nedenle asla halka açık İnternet’e maruz bırakılmamalı, dediler.
Buna rağmen, Şubat 2023’te Bitsight ve Curesec araştırmacıları, saldırganların VMware ESXi Hypervisor, Konica Minolta yazıcılar, Planex Router’lar, IBM Integrated Management Module (IMM) ve Supermicro IPMI dahil olmak üzere 2.000’den fazla küresel kuruluş ve 54.000’den fazla SLP eşgörünümü tespit etti. potansiyel olarak küresel kuruluşlara DoS saldırıları başlatmak için kötüye kullanabileceğini söylediler.
Ayrıca araştırmacılar, Fortune 1.000’de yer alan bazı kuruluşların SLP kusuruna karşı savunmasız örneklere sahip olduğunu belirlediler; potansiyel riskten en çok etkilenen ülke ABD, ardından Birleşik Krallık, Japonya, Almanya, Kanada, Fransa, İtalya, Brezilya geliyor. Hollanda ve İspanya.
VMware, kusur haberlerine ve bazı ürünlerinin etkilenebileceği ihtimaline kendi açıklamalarıyla yanıt vererek, genel desteğin sonuna gelen 6.7 ve 6.5 gibi ESXi sürümlerinin bittiğini kabul etti. aslında kusurdan etkilenir.
Şirket, “VMware, CVE-2023-29552’yi ele almak için en iyi seçeneğin, güvenlik açığından etkilenmeyen, desteklenen bir sürüm hattına yükseltme yapmak olduğunu öneriyor” dedi. VMware’e göre bu, ESXi’nin herhangi bir 7.x veya 8.x sürümünü içerir.
Şirket, “ESXi 7.0 U2c ve daha yenisi ve ESXi 8.0 GA ve daha yenisi, SLP hizmeti sağlamlaştırılmış, varsayılan olarak devre dışı bırakılmış ve ESXi güvenlik duvarı tarafından filtrelenmiş olarak gönderilir” dedi.
Bir Saldırıyı Güçlendirmek için SLP’den Yararlanma
Bitsight ve Curesec araştırmacıları, CVE-2023-29552’den yararlanan bir yansıtıcı güçlendirme DDoS saldırısının, kurbana gönderilen trafik miktarını önemli ölçüde artırmak için hizmet kaydıyla birlikte yansıtmayı kullanacağını açıkladı.
Bir SLP sunucusundan gelen tipik yanıt paketi boyutunun 48 ile 350 bayt arasında olduğunu söylediler. 29 baytlık bir istek alırsanız, yükseltme faktörü veya yanıtın istek büyüklüklerine oranı kabaca 1,6X ile 12X arasında olacaktır.
Ancak araştırmacılar, SLP’nin kimlik doğrulama gerektirmediğinden, kimliği doğrulanmamış bir kullanıcının keyfi yeni hizmetler kaydetmesine izin verdiğini söyledi. Bu, bir saldırganın sunucu yanıtının hem içeriğini hem de boyutunu değiştirebileceği anlamına gelir. Stone, nihai sonucun 2.200 kattan fazla bir maksimum büyütme faktörü olduğunu |”29 baytlık bir istek verildiğinde kabaca 65.000 baytlık yanıt nedeniyle” diye yazdı.
“Bu son derece yüksek güçlendirme faktörü, kaynakları yetersiz olan bir tehdit aktörünün, yansıtıcı bir DoS yükseltme saldırısı yoluyla hedeflenen bir ağ ve/veya sunucu üzerinde önemli bir etkiye sahip olmasına izin veriyor” diye yazdı.
DDoS’un Tehlikeleri
Bir kuruluşun iş yapma kabiliyetine zarar verebilecekleri finansal, itibar ve operasyonel zarara neden olan hizmet kesintilerine neden olabilecekleri için her zaman tehlikeli olan DDoS saldırıları, son yıllarda bir kez daha ön plana çıktı.
Bu kısmen, tehdit aktörlerinin onları iletişim ve askeri operasyonları bozmaya çalışmak için kullandıkları Ukrayna’daki çatışmada bilgisayar korsanları tarafından bir siber silah olarak kullanılmalarından kaynaklanmaktadır. Aslında, savaşın başladığı 2022’nin ilk yarısında, DDoS saldırılarının endişe verici bir sıklıkta görüldüğü görüldü ve Netscout, geçen yılın sonlarında yayınlanan “DDoS Tehdit İstihbarat Raporu”nda 6 milyondan fazla rapor verdi.
Aslında, güvenlik açığının önemi ve SLP kusurunun kullanılmasından kaynaklanan potansiyel sonuçlar göz önüne alındığında, Bitsight ve Curesec araştırmacıları, kamuyu aydınlatma çabalarını ABD İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve etkilenen kuruluşlarla koordine etti.
Bitsight, iyileştirmeye yardımcı olmak için büyük BT hizmet yönetimi şirketlerindeki DoS ekipleriyle de iletişim kurarken, CISA, potansiyel olarak etkilenen satıcılara kapsamlı erişim sağladı ve sorunla ilgili kendi yayınını yayınladı.
Azaltma ve Savunma
SLP’yi destekleyen ve Internet’ten erişilebilen teknolojiyi kullanan kuruluşlar için, açıktan yararlanan saldırganlardan kaynaklanan riski azaltmak için bariz ama belki de elde edilmesi zor olan çözüm, etkilenen herhangi bir ürünü modern bir sürüme güncellemektir. SLP’yi kullanın.
Bu mümkün değilse araştırmacılar, doğrudan İnternet’e bağlı olanlar gibi güvenilmeyen ağlarda çalışan tüm sistemlerde SLP’nin devre dışı bırakılmasını önerdi. Bu bile mümkün değilse, kuruluşların güvenlik duvarlarını UDP ve TCP bağlantı noktası 427’deki trafiği filtreleyecek şekilde yapılandırması gerektiğini, bunun da harici saldırganların SLP hizmetine erişmesini engelleyeceğini söylediler.
Araştırmacılar ayrıca, kuruluşların erişimi yakından izleyen ve denetleyen, yalnızca yetkili kullanıcıların doğru ağ kaynaklarına erişmesine izin veren güçlü kimlik doğrulama ve erişim kontrolleri uygulaması gerektiğini söyledi.
Stone, “Kuruluşların ayrıca, SLP güvenlik açıklarını hafifletmeye yönelik prosedürleri ve ayrıca bir olay durumunda kullanıcılar ve paydaşlarla iletişim kurma prosedürlerini açıkça özetleyen bir olay müdahale planına sahip olması gerekir.”