0
0
Uma falha recém-descoberta e de alta gravidade em um protocolo de Internet legado usado por vários produtos corporativos pode permitir que os invasores ampliem ataques distribuídos de negação de serviço (DDoS) até 2.200 vezes – um dos maiores ataques de amplificação já registrados, descobriram pesquisadores.
A falha, rastreada como CVE-2023-29552, é encontrada no protocolo SLP (Service Location Protocol), um protocolo de descoberta de rede em grande parte desatualizado que ainda é usado por alguns roteadores, máquinas virtuais, impressoras e outras tecnologias.
Os pesquisadores Pedro Umbelino, da Bitsight, e Marco Lux, da Curesec, descobriram em conjunto a vulnerabilidade, que, segundo eles, permite um ataque de amplificação reflexiva, de acordo com um post no blog de Noah Stone, da Bitsight, publicado em 25 de abril.
“O CVE-2023-29552 é uma ameaça que pode potencialmente afetar a continuidade dos negócios e resultar em perdas financeiras, mesmo que um invasor tenha recursos limitados”, alertou.
Em um ataque DDoS de amplificação reflexiva, um agente de ameaça normalmente envia pequenas solicitações para um servidor com um endereço IP de origem falsificado que corresponde ao endereço IP da vítima, obtendo respostas a esse endereço que são muito maiores do que as solicitações, explicaram os pesquisadores. Isso gera grandes quantidades de tráfego para o sistema da vítima, disseram eles.
“O invasor está simplesmente enganando sistemas na Internet – não necessariamente de propriedade do alvo – para enviar grandes quantidades de tráfego para o alvo”, escreveu Stone no post.
Desatualizado, mas não não utilizado
Embora o SLP tenha sido amplamente substituído por alternativas modernas como UPnP, mDNS / Zeroconf e WS-Discovery, vários produtos comerciais ainda oferecem o protocolo, disseram pesquisadores da Cloudflare em um post no blog sobre a descoberta publicado em 25 de abril. No entanto, o SLP não tem método de autenticação e, portanto, nunca deve ser exposto à Internet pública, disseram eles.
Apesar disso, em fevereiro de 2023, os pesquisadores da Bitsight e da Curesec identificaram mais de 2.000 organizações globais e mais de 54.000 instâncias SLP – incluindo VMware ESXi Hypervisor, impressoras Konica Minolta, roteadores Planex, IBM Integrated Management Module (IMM) e Supermicro IPMI – que os invasores potencialmente podem abusar para lançar ataques DoS em organizações globais, disseram eles.
Além disso, os pesquisadores identificaram várias organizações da Fortune 1.000 como tendo instâncias vulneráveis à falha do SLP, com os EUA sendo a principal nação afetada pelo risco potencial, seguidos pelo Reino Unido, Japão, Alemanha, Canadá, França, Itália, Brasil, Holanda e Espanha.
Por sua vez, a VMware respondeu à notícia da falha e à possibilidade de que alguns de seus produtos possam ser afetados com uma declaração própria, reconhecendo que as versões ESXi como a 6.7 e a 6.5, que chegaram ao fim do suporte geral, são de fato afetadas pela falha.
“A VMware recomenda que a melhor opção para abordar o CVE-2023-29552 é atualizar para uma linha de lançamento suportada que não seja afetada pela vulnerabilidade”, disse a empresa. Isso incluiria qualquer versão 7.x ou 8.x do ESXi, de acordo com a VMware.
“O ESXi 7.0 U2c e mais recente, e o ESXi 8.0 GA e mais recente, são fornecidos com o serviço SLP endurecido, desativado por padrão e filtrado pelo firewall ESXi”, disse a empresa.
Explorando o SLP para amplificar um ataque
Um ataque DDoS de amplificação reflexiva que explora CVE-2023-29552 usaria reflexão juntamente com o registro de serviço para amplificar significativamente a quantidade de tráfego enviado à vítima, explicaram os pesquisadores da Bitsight e da Curesec.
O tamanho típico do pacote de resposta de um servidor SLP é entre 48 e 350 bytes, disseram eles. Se você pegar uma solicitação de 29 bytes, o fator de amplificação — ou a razão entre a resposta e as magnitudes da solicitação — estaria aproximadamente entre 1,6X e 12X.
No entanto, como o SLP não requer autenticação, ele permite que um usuário não autenticado registre novos serviços arbitrários, disseram os pesquisadores. Isso significa que um invasor pode manipular o conteúdo e o tamanho da resposta do servidor. O resultado final é um fator de amplificação máximo de mais de 2.200 vezes |” devido à resposta de aproximadamente 65.000 bytes dada a uma solicitação de 29 bytes”, escreveu Stone.
“Esse fator de amplificação extremamente alto permite que um agente de ameaça com poucos recursos tenha um impacto significativo em uma rede e/ou servidor direcionado por meio de um ataque de amplificação de DoS reflexivo”, escreveu ele.
Perigos do DDoS
Sempre perigosos por causa dos estragos que podem causar na capacidade de uma organização de fazer negócios – causando interrupções de serviço que causam danos financeiros, de reputação e operacionais – os ataques DDoS voltaram a se mover para a vanguarda nos últimos anos.
Isso se deve em parte ao fato de serem usados como arma cibernética por hackers no conflito na Ucrânia, onde os agentes de ameaças os empregaram para tentar interromper as comunicações e as operações militares. De fato, o primeiro semestre de 2022, quando a guerra começou, viu uma frequência alarmante de ataques DDoS, com a Netscout relatando mais de 6 milhões em seu “Relatório de Inteligência de Ameaças DDoS“, publicado no final do ano passado.
De fato, dada a criticidade da vulnerabilidade e as possíveis consequências resultantes da exploração da falha do SLP, os pesquisadores da Bitsight e da Curesec coordenaram os esforços de divulgação pública com a Agência de Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança Interna dos EUA, bem como com as organizações afetadas.
A Bitsight também se envolveu com equipes de DoS nas principais empresas de gerenciamento de serviços de TI para ajudar na correção, enquanto a CISA realizou um extenso contato com fornecedores potencialmente afetados, além de lançar um lançamento próprio sobre o assunto.
Mitigação e Defesa
Para as organizações que poderiam estar usando tecnologia que suporta SLP e pode ser acessada a partir da Internet, a solução óbvia, mas talvez difícil de alcançar, para mitigar o risco de invasores que exploram a falha é atualizar qualquer produto afetado para uma versão moderna que não use SLP.
Se isso não for possível, os pesquisadores recomendaram desativar o SLP em todos os sistemas em execução em redes não confiáveis, como aquelas diretamente conectadas à Internet. Se mesmo isso não for possível, as organizações devem configurar firewalls para filtrar o tráfego na porta UDP e TCP 427, disseram eles, o que impedirá que invasores externos acessem o serviço SLP.
As organizações também devem impor autenticação forte e controles de acesso que monitorem e auditem de perto o acesso, permitindo que apenas usuários autorizados acessem os recursos de rede corretos, disseram os pesquisadores.
“As organizações também devem ter um plano de resposta a incidentes que descreva claramente os procedimentos para mitigar as vulnerabilidades do SLP”, aconselhou Stone, “bem como procedimentos para se comunicar com usuários e partes interessadas em caso de incidente”.
FONTE: DARK READING