Mô tả

SLP là viết tắt của Service Location Protocol, là một giao thức mạng được thiết kế để cung cấp khả năng tìm kiếm và xác định các dịch vụ trên mạng.

Lỗ hổng CVE-2023-29552 trong giao thức Service Location Protocol (SLP).

Kẻ tấn công có thể lợi dụng lỗ hổng này để tấn công từ chối dịch vụ (Amplification DoS) lớn với hệ số khuếch đại cao tới 2200 lần.

Các thiết bị ảnh hưởng bởi lỗ hổng có thể bị lợi dụng để thực hiện tấn công tới một mục tiêu khác trên mạng.

Đây là một trong những lỗ hổng Amplification DoS có hệ số lớn nhất từng được báo cáo.

Ảnh hưởng

Trong tất cả các thử nghiệm tấn công vào SLP thực hiện bởi Bitsight và Curesec, CVE-2023-29552 ảnh hưởng đến tấn cả các thiết bị có sử dụng giao thức này.

Số liệu từ đầu tháng 2 năm 2023 cho thấy 54.000 thiết bị sử dụng giao thức SLP. Hiện nay, ít nhất 34.000 hệ thống đang sử dụng SLP và có thể bị tấn công bất cứ lúc nào.

Tại Việt Nam, Theo ghi nhận của Trung tâm VNCERT/CC, hiện tại có gần 800 máy chủ có chứa dịch vụ SLP và khoảng 450 máy chủ có thể bị khai thác bởi lỗ hổng CVE-2023-29552.

Các sản phẩm bị ảnh hưởng bởi lỗ hổng:

Cách kiểm tra

Kiểm tra lỗ hổng với IP xx.xx.xx.35

Chạy các câu lệnh:

Kết quả như hình dưới, hệ số khếch đại Ampfactor: 19.310344827586206 lần.

Khuyến nghị khắc phục

- Tắt các dịch vụ SLP không cần thiết trên các thiết bị, ví dụ OpenSLP trên VMWare ESXi,..

- Cấu hình firewall chặn các lưu lượng từ bên ngoài internet với giao thức UDP/427 và TCP/427

Tham khảo

https://github.com/curesec/slpload

https://curesec.com/blog/article/CVE-2023-29552-Service-Location-Protocol-Denial-of-Service-Amplification-Attack-212.html

https://www.bitsight.com/blog/new-high-severity-vulnerability-cve-2023-29552-discovered-service-location-protocol-slp

https://nvd.nist.gov/vuln/detail/CVE-2023-29552

https://blogs.vmware.com/security/2023/04/vmware-response-to-cve-2023-29552-reflective-denial-of-service-dos-amplification-vulnerability-in-slp.html