Ga naar inhoud

Aanbevolen berichten

Geplaatst:

Een kwetsbaarheid in het Service Location Protocol (SLP) maakt het mogelijk om dos-aanvallen met een factor 2200 te versterken, zo waarschuwen onderzoekers van Bitsight en Curesec. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties op om kennis van de kwetsbaarheid te nemen, die wordt aangeduid als CVE-2023-29552. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.6.

De onderzoekers die het probleem ontdekten claimen dat er meer dan 54.000 kwetsbare SLP-instances op internet zijn te vinden, die eigendom van meer dan tweeduizend organisaties zijn. Het gaat onder andere om VMware ESXi Hypervisor, Konica Minolta-printers, Planex-routers, IBM Integrated Management Module (IMM), SMC IPMI en andere systemen die kwetsbaar zijn.

Het uit 1997 stammende SLP-protocol biedt een dynamisch configuratiemechanisme voor het configureren van applicaties in lokale netwerken. SLP maakt het mogelijk voor systemen op een netwerken om elkaar te vinden en met elkaar te communiceren. Hiervoor gebruikt het een directory van beschikbare services, zoals printers, file servers en andere netwerkvoorzieningen. Systemen kunnen zichzelf via een directory agent registreren, waarna de services van dit systeem voor andere systemen op het netwerk beschikbaar worden.

SLP was niet ontwikkeld om vanaf het internet toegankelijk te zijn. Het protocol is echter in allerlei instances aangetroffen die wel vanaf het internet zijn te bereiken. Onderzoekers van Bitsight en Curesec ontdekten dat het via SLP mogelijk is om een "denial of service amplification" aanval uit te voeren. Een ongeauthenticeerde aanvaller kan willekeurige nieuwe services registreren. Hierbij spooft de aanvaller zijn ip-adres en geeft het ip-adres van het slachtoffer op waar hij de dos-aanval op wil uitvoeren. Met een request van slechts 29 bytes kan een aanvaller via SLP een response van 65.000 bytes genereren. Deze data wordt vervolgens naar het gespoofte ip-adres gestuurd.

De onderzoekers vonden allerlei systemen en producten waar SLP actief in is en aanvallers hier misbruik van kunnen maken. In de top tien van landen met de meeste kwetsbare SLP-instances komt ook Nederland voor. VMware heeft inmiddels een advisory voor de kwetsbaarheid uitgebracht en adviseert om SLP uit te schakelen. Ook de onderzoekers adviseren dit. In het geval dit niet mogelijk is wordt aangeraden om via firewalling verkeer op UDP- en TCP-poort 427 te filteren, aangezien dit voorkomt dat externe aanvallers toegang tot de SLP-service kunnen krijgen.

 

bron: https://www.security.nl

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.