Dünyada artan DDOS saldırılarına bir yenisi daha eklendi Yeni SLP Güvenlik Açığı, güçlü DDoS saldırısı yapmaya izin verebilir.
Hedeflere karşı DDOS saldırıları yapmaya olanak sağlayan Hizmet Konumu Protokolü’nü (SLP) etkileyen çok tehlikeli güvenlik açığı hakkında ortaya detaylar çıktı.
Bitsight ve Curesec araştırmacıları Pedro Umbelino ve Marco Lux, “Bu güvenlik açığından yararlanan saldırganlar, 2200 kata kadar yüksek bir faktörle büyük Hizmet Reddi (DoS) amplifikasyon saldırıları başlatmak için savunmasız örneklerden yararlanabilir ve potansiyel olarak onu şimdiye kadar bildirilen en büyük amplifikasyon saldırılarından biri haline getirebilir” dedi.
CVE-2023-29552 tanımlayıcısı (CVSS puanı: 8.6) olarak atanan güvenlik açığının, internet üzerinden erişilebilen 2.000’den fazla küresel kuruluşu ve 54.000’den fazla SLP örneğini etkilediği söyleniyor.
Buna VMware ESXi Hipervizörü, Konica Minolta yazıcılar, Planex Yönlendiriciler, IBM Tümleşik Yönetim Modülü (IMM), SMC IPMI ve diğer 665 ürün türü dahildir.
Savunmasız SLP örneklerine sahip kuruluşların en fazla olduğu ilk 10 ülke ABD, İNGİLTERE, Japonya, Almanya, Kanada, Fransa, İtalya, Brezilya, Hollanda ve İspanya’dır.
YeniSLP güvenlik açığı , bilgisayarların ve diğer aygıtların yazıcılar, dosya sunucuları ve diğer ağ kaynakları gibi yerel alan ağındaki hizmetleri bulmasını mümkün kılan bir hizmet bulma protokolüdür.
CVE-2023-29552’nin başarılı bir şekilde kullanılması, bir saldırganın yansıma artırma saldırısı başlatmak ve sahte trafiğe sahip bir hedef sunucuyu alt etmek için duyarlı SLP örneklerinden yararlanmasına izin verebilir.
Bunu yapmak için bir saldırganın yapması gereken tek şey UDP bağlantı noktası 427’de bir SLP sunucusu bulmak ve “SLP daha fazla girişi reddedene kadar hizmetleri” kaydetmek ve ardından kaynak adres olarak kurbanın IP’si ile bu hizmete yapılan bir isteği art arda taklit etmektir.
İlgini çekebilecek yazımız: Hackerlar WordPress Eski Eklentilerini Kullanarak Arka Kapı Bırakıyor
Bu tür bir saldırı, 2.200’e varan bir amplifikasyon faktörü üreterek büyük ölçekli DoS saldırılarına neden olabilir. Tehdide karşı önlem almak için, kullanıcıların doğrudan ınternet’e bağlı sistemlerde slp’yi devre dışı bırakmaları veya alternatif olarak UDP ve TCP bağlantı noktası 427’deki trafiği filtrelemeleri önerilir.
Araştırmacılar, “Güçlü kimlik doğrulama ve erişim kontrollerini uygulamak, yalnızca yetkili kullanıcıların doğru ağ kaynaklarına erişmesine izin vermek, erişimin yakından izlenmesi ve denetlenmesiyle eşit derecede önemlidir” dedi.
Web güvenlik şirketi Cloudflare, bir danışmanlığında, tehdit aktörleri yeni DDoS amplifikasyon vektörünü denedikçe “SLP tabanlı DDoS saldırılarının yaygınlığının önümüzdeki haftalarda önemli ölçüde artmasını beklediğini” söyledi.
Bulgular, VMware’in SLP uygulamasındaki yamalı iki yıllık bir kusurun, bu yılın başlarında yaygın saldırılarda ESXiArgs fidye yazılımıyla ilişkili aktörler tarafından istismar edilmesinden kaynaklanıyor.
Haber Kaynağı: The Hacker News