Posté le avril 26, 2023 à 5:46

UNE NOUVELLE VULNÉRABILITÉ DU SLP PEUT ÊTRE EXPLOITÉE POUR LANCER DES ATTAQUES DDOS

Un rapport récent a révélé comment une vulnérabilité affectant le protocole de localisation des services (SLP) peut être exploitée pour lancer des attaques par déni de service distribué (DDoS) massives contre des cibles. La faille de sécurité a un niveau de gravité élevé.

Une nouvelle vulnérabilité SLP a été détectée

Un récent rapport publié par Pedro Umbelino et Marco Lux, chercheurs chez Bitsight et Curesec, attribue à cette vulnérabilité un facteur d’amplification de 2000 fois. Les chercheurs ont noté que la vulnérabilité pouvait lancer des attaques d’une grande ampleur.

« Les attaquants qui exploitent cette vulnérabilité pourraient s’appuyer sur des instances vulnérables pour lancer des attaques massives par déni de service (DoS) avec un facteur aussi élevé que 2 200 fois, ce qui en fait potentiellement l’une des plus grandes attaques par amplification jamais signalées », indique le rapport.

Cette vulnérabilité est répertoriée sous le nom de CVE-2023-29552 (score CVSS : 8.6). La vulnérabilité semble avoir une large portée puisqu’elle a affecté plus de 2 000 organisations mondiales et plus de 54 000 instances SLP accessibles sur Internet.

Les produits vulnérables à cette faille comprennent le module de gestion intégré (IMM) d’IBM, les imprimantes Konica Minolta, les routeurs Planex, l’IPMI de SMC et l’hyperviseur ESXi de VMWare. La vulnérabilité a également affecté 665 autres types de produits.

La vulnérabilité de nombreuses organisations, dont celles qui ont des instances orthophoniques vulnérables, a une portée mondiale. Les dix pays qui comptent le plus grand nombre d’organisations vulnérables sont le Brésil, le Canada, la France, l’Allemagne, l’Italie, le Japon, l’Espagne, les Pays-Bas, le Royaume-Uni et les États-Unis.

Comme indiqué précédemment, cette vulnérabilité existe dans le SLP. Le SLP est un protocole de découverte de services sur les ordinateurs et autres dispositifs. Le SLP est utilisé pour un large éventail de fonctions, telles que la localisation de services au sein d’un réseau local, y compris les serveurs de fichiers, les imprimantes et d’autres ressources au sein d’un réseau.

La vulnérabilité SLP peut submerger les serveurs cibles avec du faux trafic

Si un hacker parvient à exploiter la faille CVE-2023-29552, il peut profiter des instances SLP vulnérables pour mener une attaque par amplification de réflexion. Le hacker peut également submerger le serveur cible avec du faux trafic dans une campagne DDoS qui peut paralyser les opérations d’une organisation.

La seule chose dont un attaquant a besoin pour réaliser cet exploit est de localiser un serveur SLP sur le port UDP 427 et d’enregistrer son service jusqu’à ce que le SLP ne prenne plus en charge d’autres entrées. L’auteur de l’attaque se sert ensuite de l’adresse IP de la victime comme adresse source pour envoyer plusieurs fois une requête au service.

Ce type d’attaque peut créer un facteur d’amplification allant jusqu’à 2 200 et déclencher une attaque DDoS à grande échelle. Il a été conseillé aux utilisateurs qui souhaitent se prémunir contre cette attaque de désactiver le SLP sur les systèmes connectés à l’internet. En outre, les utilisateurs peuvent trier le trafic envoyé par les ports UDP et TCP 427.

Les chercheurs ont également conseillé aux utilisateurs d’adopter des contrôles d’authentification et d’accès robustes. Il est par ailleurs conseillé de ne permettre qu’aux utilisateurs autorisés d’accéder aux ressources du réseau, tout en s’assurant que l’accès est surveillé et audité.

Cloudflare a déjà publié un avis sur cette vulnérabilité. L’entreprise de cybersécurité a déclaré qu’elle s’attendait à une augmentation du nombre d’attaques DDoS basées sur le SLP dans les semaines à venir. Les acteurs de la menace vont probablement commencer à tester ce nouveau vecteur d’amplification des attaques DDoS.

La CISA (Cybersecurity and Infrastructure Security Agency), l’agence Américaine de sécurité des infrastructures et de la cybersécurité, a relevé cette faille. La CISA a mis en garde contre la probabilité accrue d’attaques qui abusent du SLP pour lancer une attaque DoS à facteur d’amplification élevé en exploitant des adresses sources usurpées.

La CISA a déclaré : « Le protocole de localisation des services (SLP, RFC 2608) permet à un attaquant distant non authentifié d’enregistrer des services arbitraires. Cela pourrait permettre à un attaquant d’utiliser un trafic UDP usurpé pour mener une attaque par déni de service avec un facteur d’amplification significatif ».

Ces découvertes interviennent en outre après qu’un bug vieux de deux ans dans l’implémentation SLP de VMware a été exploité par des hackers liés au groupe de ransomwares ESXiArgs. La vulnérabilité a depuis été corrigée, mais elle a été utilisée pour mener un large éventail d’attaques au début de l’année.

L’entreprise a déclaré qu’elle avait étudié cette faille et détecté que les lignes ESXi 7.x et 8.x n’étaient pas affectées. Les chercheurs ont noté que l’attaque n’avait affecté que les anciennes versions qui avaient atteint la fin du support général.

Edward Hawkins, de VMware, a indiqué que la meilleure façon de remédier à cette vulnérabilité était d’effectuer une mise à niveau vers une version non affectée par le bug. La société a indiqué que dans le cadre d’une mise à niveau vers une version prise en charge, les administrateurs ESXi devaient s’assurer que les hôtes ESXi n’étaient pas exposés à des réseaux non fiables et désactiver SLP.