Rilevata vulnerabilità nel protocollo SLP (BL01/230427/CSIRT-ITA) – Aggiornamento

Nov 9, 2023 | Articoli, Uncategorized

Descrizione

Ricercatori di sicurezza hanno recentemente rilevato una nuova vulnerabilità, con gravità “alta” e tracciata tramite la CVE-2023-29552, nel Service Location Protocol (SLP). Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto non autenticato, l’esecuzione di attacchi DDoS dai dispositivi vulnerabili, con un fattore di amplificazione fino a 2200x.

SLP è un protocollo nato nel 1997 e definito dal RFC 2165 che fornisce un framework scalabile per la rilevazione e la selezione dei servizi di rete. Attraverso tale protocollo, un computer e altri dispositivi possono rilevare servizi in una rete locale senza previa configurazione. Un sistema può fornire l’accesso alle sue risorse, come una stampante, un file server o altri servizi di rete registrandosi ad un directory agent sulla porta TCP/UDP 427.

L’esposizione di tale protocollo su Internet può agevolare l’esecuzione di attacchi di tipo DDoS. In particolare, lo sfruttamento della CVE-2023-29552 consente ad un attaccante, non autenticato remoto, la registrazione di nuovi servizi arbitrari in un server SLP manipolando sia il contenuto che la dimensione della risposta del server al fine di ottenere un alto fattore di amplificazione.

Di seguito sono elencate le specifiche fasi dell’attacco che sfruttano la CVE-2023-29552:

  1. l’attaccante identifica un server che espone un’istanza SLP sulla porta UDP 427;
  2. l’attaccante registra servizi fino a che il server SLP nega ulteriori richieste;
  3. l’attaccante invia false richieste al servizio SLP utilizzando l’indirizzo IP della vittima come sorgente;
  4. l’attaccante ripete il passaggio 3) per tutta la durata dell’attacco DDoS.

Secondo i ricercatori, la vulnerabilità interessa molteplici prodotti, tra i quali gli hypervisor VMware, le stampanti Konica Minolta, i router Planex e i moduli di gestione integrata di IBM (IMM).

Non tutte le istanze di SLP sono vulnerabili alla CVE-2023-29552: alcune non consentono la registrazione di nuovi servizi, pertanto non consentono l’incremento del fattore di amplificazione descritto in precedenza. Durante un attacco DDoS con tecnica di amplificazione, le risposte del server hanno dimensioni maggiori rispetto alle richieste. Maggiore è la dimensione e maggiore sarà il fattore di amplificazione. A prescindere dalla possibilità di registrazione di nuovi servzi, l’attaccante può inviare messaggi di tipo “Service Type Request”, volti a richiedere tutte le “naming authority” e il “default scope”, obbligando così il server a rispondere con le liste di tutti i “service type” che fornisce. In questo modo il fattore di amplificazione ottenuto varia tra 1,6x e 12x. Nel caso di sfruttamento della CVE-2023-29552, il server SLP accetta le richieste di registrazione di nuovi servizi: in questo modo l’attaccante è in grado di saturare il buffer del server e successivamente inviare richieste artefatte tramite spoofing. Ad ogni richiesta effettuata, le dimensioni della risposta del server aumentano in base al software/sistema utilizzato e può raggiungere il limite del singolo pacchetto UDP di 65.536 byte. In quest’ultimo caso il fattore di amplificazione può raggiungere un massimo di 2200x.

Per ulteriori dettagli e/o approfondimenti si rimanda al report dei ricercatori.

Note (aggiornamento del 09/11/2023): la vulnerabilità risulta essere sfruttata attivamente in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (80,25/100)1.

 

Tipologia

  • Denial of Service

Prodotti e versioni affette

Dispositivi che espongono il servizio SLP.

Azioni di mitigazione

Per proteggersi dal possibile sfruttamento CVE-2023-29552 si raccomanda, qualora possibile, la disabilitazione del servizio SLP su tutti i sistemi esposti pubblicamente, ovvero l’abilitazione del filtro sul firewall del traffico UDP e TCP porta 427.

Riguardo i prodotti VMware, si consiglia di applicare le mitigazioni seguendo le indicazioni dello specifico bollettino di sicurezza disponibile nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2023-29552

Riferimenti

https://www.bitsight.com/blog/new-high-severity-vulnerability-cve-2023-29552-discovered-service-location-protocol-slp

https://blogs.vmware.com/security/2023/04/vmware-response-to-cve-2023-29552-reflective-denial-of-service-dos-amplification-vulnerability-in-slp.html

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.