Af Eskil Sørensen, 26/04/23
Der er fundet en sårbarhed i SLP-protokollen, som kan anvendes til at starte massive Denial-of-Service (DoS) ’amplification’-angreb.
Det fremgår af Security Affairs og en række andre medier på baggrund af en blog fra Bitsight. Det er researchere fra selvsamme og Curesec, der har fundet sårbarheden, som typisk vil være interessant for cyberaktivister at kaste sig over. Sårbarheden påvirker over 54.000 SLP-instanser, der er offentligt eksponeret for internettet, inklusive VMWare ESXi Hypervisor.
Sårbarheden fået id’et CVE-2023-29552 og en CVSS-score på 8,3.
Der er endnu ikke rapporteret aktiv udnyttelse af sårbarheden, men med offentliggørelsen af sårbarheden, kan det ikke udelukkes, at cyberaktivister vil forsøge at udnytte den med henblik på DOS-angreb.
Det anbefales, at SLP-protokollens IP-porte 427, både UDP og TCP, uden for netværksperimeteren blokeres eller filtreres.
Links:
https://www.bitsight.com/blog/new-high-severity-vulnerability-cve-2023-29552-discovered-service-location-protocol-slp
https://www.bleepingcomputer.com/news/security/new-slp-bug-can-lead-to-massive-2-200x-ddos-amplification-attacks/
https://www.cisa.gov/news-events/alerts/2023/04/25/abuse-service-location-protocol-may-lead-dos-attacks
https://thehackernews.com/2023/04/new-slp-vulnerability-could-let.html
https://www.csoonline.com/article/3694650/new-ddos-amplification-vector-could-enable-massive-attacks.html
https://securityaffairs.com/145295/hacking/slp-flaw-ddos-attacks.html
https://www.ietf.org/rfc/rfc2608.txt
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-29552