Ricercatori di sicurezza hanno recentemente individuato una vulnerabilità in un protocollo di sicurezza utilizzato da 26 anni a questa parte che permette di effettuare attacchi DDoS dai dispositivi più disparati, stampanti incluse.
Etichettata con gravità “alta” è archiviata nei database dedicati come CVE-2023-29552: la vulnerabiòlità in questioone è legata al Service Location Protocol (SLP), un protocollo di rilevamento dei servizi che consente a computer e altri dispositivi di trovare servizi in una rete locale senza previa configurazione. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto non autenticato, l’esecuzione di attacchi DDoS dai dispositivi vulnerabili.
L’italiano CSIRT (Computer Security Incident Response Team) spiega che SLP è un protocollo nato nel 1997 e definito dal RFC 2165 che fornisce un framework scalabile per la rilevazione e la selezione dei servizi di rete. Attraverso tale protocollo, un computer e altri dispositivi possono rilevare servizi in una rete locale senza previa configurazione. Un sistema può fornire l’accesso alle sue risorse, come una stampante, un file server o altri servizi di rete registrandosi ad un directory agent sulla porta TCP/UDP 427.
L’esposizione di tale protocollo su Internet può agevolare l’esecuzione di attacchi di tipo DDoS. In particolare, lo sfruttamento della CVE-2023-29552 consente a un attaccante, non autenticato remoto, la registrazione di nuovi servizi arbitrari in un server SLP manipolando sia il contenuto che la dimensione della risposta del server al fine di ottenere un alto fattore di amplificazione.
Secondo i ricercatori (qui i dettagli) la vulnerabilità interessa molteplici prodotti, tra i quali gli hypervisor VMware, le stampanti Konica Minolta, i router Planex e i moduli di gestione integrata di IBM (IMM). Non tutte le istanze di SLP sono vulnerabili alla CVE-2023-29552: alcune non consentono la registrazione di nuovi servizi, pertanto non consentono l’incremento del fattore di amplificazione descritto in precedenza.
Dal punto di vista tecnico, durante un attacco DDoS con tecnica di amplificazione, le risposte del server hanno dimensioni maggiori rispetto alle richieste. Maggiore è la dimensione e maggiore sarà il fattore di amplificazione. A prescindere dalla possibilità di registrazione di nuovi servzi, l’attaccante può inviare messaggi di tipo “Service Type Request”, volti a richiedere tutte le “naming authority” e il “default scope”, obbligando così il server a rispondere con le liste di tutti i “service type” che fornisce.
In questo modo il fattore di amplificazione ottenuto varia tra 1,6x e 12x. Nel caso di sfruttamento della CVE-2023-29552, il server SLP accetta le richieste di registrazione di nuovi servizi: in questo modo l’attaccante è in grado di saturare il buffer del server e successivamente inviare richieste artefatte tramite spoofing. Ad ogni richiesta effettuata, le dimensioni della risposta del server aumentano in base al software/sistema utilizzato e può raggiungere il limite del singolo pacchetto UDP di 65.536 byte. In quest’ultimo caso il fattore di amplificazione può raggiungere un massimo di 2200x.
Come proteggersi
Per proteggersi dal possibile sfruttamento della vulnerabilità CVE-2023-29552 si raccomanda, qualora possibile, la disabilitazione del servizio SLP su tutti i sistemi esposti pubblicamente, ovvero l’abilitazione del filtro sul firewall del traffico UDP e TCP porta 427.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.
