Thông tin chi tiết về lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Giao thức dịch vụ (SLP) có thể sử dụng để khởi động các cuộc tấn công từ chối dịch vụ để chống lại mục tiêu
Các nhà nghiên cứu Pedro Umbelino và Marco Lux của Bitsight và Curesec cho biết “Những kẻ tấn công khai thác lỗ hổng này có thể tận dụng các trường hợp dễ bị tổn thương để khởi động các cuộc tấn công khuếch đại từ chối dịch vụ (DoS) lớn với hệ số lên tới 2200 lần, có khả năng khiến nó trở thành một trong những cuộc tấn công lớn nhất từng được báo cáo”
Lỗ hổng được gán mã định danh CVE-2023-29552 (điểm CVSS: 8.6), ảnh hưởng đến hơn 2.000 tổ chức trên thế giới và hơn 54.000 phiên bản SLP có thể truy cập qua internet.
Điều này bao gồm VMWare ESXi Hypervisor, máy in Konica Minolta, Bộ định tuyến Planex, Mô-đun quản lý tích hợp IBM (IMM), SMC IPMI và 665 loại sản phẩm khác.
10 quốc gia hàng đầu có nhiều tổ chức nhất có phiên bản SLP dễ bị tấn công là Hoa Kỳ, Vương quốc Anh, Nhật Bản, Đức, Canada, Pháp, Ý, Brazil, Hà Lan và Tây Ban Nha.
SLP là một giao thức khám phá dịch vụ giúp máy tính và các thiết bị khác có thể tìm thấy các dịch vụ trong mạng cục bộ như máy in, máy chủ tệp và các tài nguyên mạng khác.
Việc khai thác thành công CVE-2023-29552 có thể cho phép kẻ tấn công lợi dụng các phiên bản SLP để khởi động cuộc tấn công phản xạ và áp đảo một chủ mục tiêu với lưu lượng truy cập không có thật.
Một cuộc tấn công kiểu này có thể tạo ra hệ số lên tới 2.200, dẫn đến các cuộc tấn công DoS quy mô lớn. Để giảm thiểu mối đe dọa, người dùng nên tắt SLP trên các hệ thống được kết nối trực tiếp với internet hoặc lọc lưu lượng truy cập trên cổng UDP và TCP 427.
Các nhà nghiên cứu cho biết “Điều quan trọng không kém là thực thi xác thực và kiểm soát truy cập mạnh mẽ, chỉ cho phép người dùng được ủy quyền truy cập vào tài nguyên mạng chính xác, với quyền truy cập được giám sát và kiểm toán chặt chẽ”
Những phát hiện này được đưa ra khi một lỗ hổng hai năm tuổi hiện đã được vá trong việc triển khai SLP của VMware đã bị khai thác bởi các tác nhân liên quan đến ransomware ESXiArgs trong các cuộc tấn công lan rộng vào đầu năm nay.