Chyba v protokolu SLP umožňuje odrazit DDoS a 2200× ho zesílit

27. 4. 2023

Sdílet

Ethernet oheň hoří DDoS Autor: Depositphotos

Vážná zranitelnost označená CVE-2023–29552 se vyskytuje v protokolu SLP (Service Location Protocol) a může být zneužita útočníky k vytvoření velmi silného odraženého útoku DDoS. Protokol je určen k objevování služeb v místní síti bez předchozí konfigurace.

Objevitelé varují, že útočníci zneužívající tuto chybu mohou využít zranitelné instance k masivním útokům. Poukázali na to, že chyba může umožnit dosáhnout až obrovského zesílení, které dosahuje až hodnoty 2200. To je jeden z největších zesilujících faktorů, jaký byl kdy zaznamenán.

Při odraženém zesilujícím útoku odesílá útočník malé požadavky na server s podvrženou zdrojovou IP adresou oběti. Server na dotazy odpoví na IP adresu oběti a odešle mnohem větší odpovědi než požadavky, čímž generuje velké množství provozu. Konkrétně SLP umožňuje neověřenému uživateli registrovat libovolné nové služby, což znamená, že útočník může manipulovat s obsahem i velikostí odpovědi serveru. To vede k maximálnímu faktoru zesílení více než 2200× vzhledem k odpovědi o velikosti zhruba 65 000 bajtů při požadavku o velikosti pouhých 29 bajtů.

Zranitelnost se týká více než 2 000 organizací po celém světě a více než 54 000 instancí SLP, které jsou veřejně vystaveny do internetu, včetně hypervizoru VMWare ESXi, tiskáren Konica Minolta, směrovačů Planex, integrovaného modulu správy IBM (IMM), SMC IPMI a dalších 665 produktů.

Našli jste v článku chybu?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.