Une nouvelle vulnérabilité d’amplification de déni de service (DoS) réfléchissante dans le protocole de localisation de service (SLP) permet aux pirates de lancer des attaques massives par déni de service avec une amplification de 2 200X.
Cette faille, identifiée comme CVE-2023-29552, a été découverte par des chercheurs de BitSight et Curesec, qui affirment que plus de 2 000 organisations utilisent des appareils qui exposent environ 54 000 instances SLP exploitables pour une utilisation dans des attaques d’amplification DDoS.
Les services vulnérables incluent les hyperviseurs VMWare ESXi, les imprimantes Konica Minolta, les modules de gestion intégrés IBM et les routeurs Planex déployés par des organisations sans méfiance dans le monde entier.
Les cas les plus vulnérables se trouvent aux États-Unis, en Grande-Bretagne, au Japon, en Allemagne, au Canada, en France, en Italie, au Brésil, aux Pays-Bas et en Espagne, détenus par plusieurs entreprises du Fortune 1000 dans les domaines de la technologie, des télécommunications, de la santé, de l’assurance, de la finance, de l’hôtellerie et transport.
La vulnérabilité SLP
Le protocole de localisation de service (SLP) est un ancien protocole Internet créé en 1997 pour une utilisation dans les réseaux locaux (LAN), permettant une connexion et une communication faciles entre les appareils en utilisant un système de disponibilité de service via UDP et TCP sur le port 427.
Alors que son utilisation prévue ne devait jamais être exposée sur l’Internet public, les organisations ont exposé SLP sur des dizaines de milliers d’appareils au fil des ans.
« Service Location fournit un mécanisme de configuration dynamique pour les applications dans les réseaux locaux. Il ne s’agit pas d’un système de résolution global pour l’ensemble d’Internet ; il est plutôt destiné à servir les réseaux d’entreprise avec des services partagés », indique la description du protocole.
Selon BitSight, toutes ces instances sont vulnérables à CVE-2023-29552 (score CVSS : 8,6), que les attaquants peuvent exploiter pour lancer des attaques d’amplification DoS réfléchissantes sur des cibles.
Plus précisément, la faille permet à des attaquants non authentifiés d’enregistrer des services arbitraires sur le serveur SLP, en manipulant le contenu et la taille de sa réponse pour atteindre un facteur d’amplification maximum de 2 200x.
Ces nombreux serveurs exposés pourraient permettre aux acteurs de la menace de mener des attaques DDoS massives contre des entreprises, des entités gouvernementales et des services critiques pour les rendre inaccessibles ou ne plus fonctionner comme prévu.
En raison de la nature critique de cette faille, la Cybersecurity and Infrastructure Agency (CISA) du Département américain de la sécurité intérieure a mené une vaste campagne de sensibilisation pour informer les fournisseurs potentiellement touchés de la vulnérabilité.
Amplification DoS
Les attaques d’amplification DoS impliquent l’envoi d’une requête avec l’adresse IP source de la cible de l’attaque à un appareil vulnérable, en laissant la taille des données s’amplifier au sein du service abusé jusqu’au point maximum, puis en libérant la réponse à la victime.
Habituellement, la taille d’un paquet de réponse typique d’un serveur SLP est comprise entre 48 et 350 octets, donc sans manipulation, le facteur d’amplification peut atteindre jusqu’à 12x.
Cependant, en exploitant CVE-2023-29552, il est possible d’augmenter la taille de réponse UDP du serveur en enregistrant de nouveaux services jusqu’à ce que le tampon de réponse soit plein.
Ce faisant, les attaquants peuvent atteindre un facteur d’amplification maximal de 2 200x, transformant une minuscule requête de 29 octets en une réponse massive de 65 000 octets dirigée vers la cible.
« Ce facteur d’amplification extrêmement élevé permet à un acteur de menace aux ressources insuffisantes d’avoir un impact significatif sur un réseau et/ou un serveur ciblé via une attaque d’amplification DoS réfléchissante », prévient le rapport BitSight.
Dans un scénario d’attaque réel, un acteur menaçant tirerait parti de plusieurs instances SLP pour lancer une telle attaque, en coordonnant leurs réponses et en submergeant leurs cibles avec un trafic massif.
Pour protéger les actifs de votre organisation contre les abus potentiels, SLP doit être désactivé sur les systèmes exposés à Internet ou à des réseaux non approuvés.
Si cela est impossible, il est recommandé de configurer un pare-feu qui filtre le trafic sur le port UDP et TCP 427, qui est l’entrée principale de la requête malveillante qui exploite les services SLP.
VMWare a également publié un bulletin à ce sujet, précisant que le problème n’affecte que les anciennes versions d’ESXi qui ne sont plus prises en charge, conseillant aux administrateurs d’éviter de les exposer à des réseaux non fiables.