Detalhes foram revelados sobre uma vulnerabilidade de segurança de alta gravidade que afeta o Protocolo de Localização de Serviço (SLP) e que poderia ser utilizada para lançar ataques de negação de serviço volumétricos contra alvos.
"Atacantes que exploram essa vulnerabilidade poderiam aproveitar instâncias vulneráveis para lançar ataques massivos de amplificação de negação de serviço (DoS) com um fator tão alto quanto 2.200 vezes, tornando-o potencialmente um dos maiores ataques de amplificação já relatados", disseram os pesquisadores Pedro Umbelino e Marco Lux, da Bitsight e da Curesec, em um relatório compartilhado com o The Hacker News.
A vulnerabilidade, que recebeu o identificador
CVE-2023-29552
(pontuação CVSS: 8,6), afeta mais de 2.000 organizações globais e mais de 54.000 instâncias SLP que são acessíveis pela internet.
Isso inclui o hipervisor VMWare ESXi, impressoras Konica Minolta, roteadores Planex, IBM Integrated Management Module (IMM), SMC IPMI e 665 outros tipos de produtos.
Os dez países com mais organizações que têm instâncias vulneráveis de SLP são os Estados Unidos, Reino Unido, Japão, Alemanha, Canadá, França, Itália, Brasil, Países Baixos e Espanha.
SLP é um protocolo de descoberta de serviço que torna possível para computadores e outros dispositivos encontrar serviços em uma rede de área local, como impressoras, servidores de arquivos e outros recursos de rede.
A exploração bem-sucedida do
CVE-2023-29552
poderia permitir a um atacante aproveitar instâncias SLP suscetíveis para lançar um ataque de amplificação de reflexão e sobrecarregar um servidor de destino com tráfego falso.
Para fazer isso, tudo o que um atacante precisa fazer é encontrar um servidor SLP na porta UDP 427 e registrar "serviços até que o SLP negue mais entradas", seguido pela falsificação repetida de uma solicitação para esse serviço com o endereço IP da vítima como endereço de origem.
Um ataque desse tipo pode produzir um fator de amplificação de até 2.200, resultando em ataques DoS em larga escala.
Para mitigar a ameaça, é recomendado que os usuários desativem o SLP em sistemas diretamente conectados à internet, ou alternativamente filtrem o tráfego nas portas UDP e TCP 427.
"É igualmente importante aplicar autenticação forte e controles de acesso, permitindo que apenas usuários autorizados acessem os recursos de rede corretos, com acesso sendo monitorado e auditado de perto", disseram os pesquisadores.
A empresa de segurança na web Cloudflare, em um aviso, disse que "espera que a prevalência de ataques DDoS baseados em SLP aumente significativamente nas próximas semanas", à medida que os atores de ameaças experimentam com o novo vetor de amplificação de DDoS.
A vulnerabilidade também atraiu a atenção da Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA), que alertou sobre possíveis ataques abusando do SLP para "conduzir ataques DoS de alto fator de amplificação usando endereços de origem falsificados".
As descobertas surgem quando uma falha de dois anos na implementação do SLP da VMware, agora corrigida, foi explorada por atores associados ao ransomware ESXiArgs em ataques generalizados este ano.
O provedor de serviços de virtualização disse que investigou a falha e determinou que as versões do ESXi (linhas ESXi 7.x e 8.x) não são afetadas, e que ela afeta apenas versões mais antigas que chegaram ao final do suporte geral (EoGS).
"A melhor opção para abordar o
CVE-2023-29552
é atualizar para uma linha de versão suportada que não seja afetada pela vulnerabilidade", disse Edward Hawkins, da VMware.
"Em vez de uma atualização para uma versão suportada, os administradores do ESXi devem garantir que seus hosts ESXi não estejam expostos a redes não confiáveis e também desativar o SLP".
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...