新的SLP漏洞引發(fā)史上最大DoS放大攻擊

發(fā)布時間 2023-04-28

Bitsight和Curesec的研究人員Pedro Umbelino和Marco Lux在一份與《黑客新聞》分享的報告中說:攻擊者利用這個漏洞可以發(fā)動大規(guī)模的拒絕服務(wù)(DoS)放大攻擊,系數(shù)高達(dá)2200倍,有可能成為有史以來最大的放大攻擊之一。據(jù)稱,該漏洞為CVE-2023-29552(CVSS評分:8.6),影響全球2000多家企業(yè)和54000多個通過互聯(lián)網(wǎng)訪問的SLP實(shí)體。


這其中包括VMWare ESXi管理程序、柯達(dá)打印機(jī)、Planex路由器、IBM集成管理模塊(IMM)、SMC IPMI等其他665種產(chǎn)品。易受攻擊的SLP實(shí)體最多的前十個國家分別是美國、英國、日本、德國、加拿大、法國、意大利、巴西、荷蘭和西班牙。


SLP是一個服務(wù)發(fā)現(xiàn)協(xié)議,使計(jì)算機(jī)和其他設(shè)備能夠在局域網(wǎng)中找到服務(wù),如打印機(jī)、文件服務(wù)器和其他網(wǎng)絡(luò)資源。攻擊者利用受CVE-2023-29552漏洞影響的SLP實(shí)體,發(fā)起放大攻擊,用超大規(guī)模虛假流量攻擊目標(biāo)服務(wù)器。


要做到這一點(diǎn),攻擊者需要做的就是在UDP 427端口找到一個SLP服務(wù)器并注冊 ,直到SLP拒絕更多的條目,然后以受害者的IP作為源地址反復(fù)對該服務(wù)發(fā)起請求。這種攻擊可以產(chǎn)生高達(dá)2200倍的放大系數(shù),導(dǎo)致大規(guī)模的DoS攻擊。為了減輕這種威脅,建議用戶在直接連接到互聯(lián)網(wǎng)的系統(tǒng)上禁用SLP,或者過濾UDP和TCP 427端口的流量。


研究人員表示:同樣需要注意的是,實(shí)施強(qiáng)有力的認(rèn)證和訪問控制,只允許授權(quán)用戶訪問正確的網(wǎng)絡(luò)資源,并對訪問進(jìn)行密切監(jiān)控和審計(jì)。網(wǎng)絡(luò)安全公司Cloudflare在一份公告中說,預(yù)計(jì)基于SLP的DDoS攻擊的普遍性將在未來幾周內(nèi)大幅上升,因?yàn)楣粽哒趪L試新的DDoS放大載體。