Los investigadores de las empresas de seguridad Bitsight y Curesec advierten sobre una vulnerabilidad que descubrieron en un servicio de red basado en UDP llamado Service Location Protocol (SLP). Se podría abusar de la falla para amplificar los ataques DDoS. Decenas de miles de sistemas y endpoints están expuestos a este servicio en Internet y los atacantes podrían utilizarlos para generar ataques masivos. Y probablemente llevará mucho tiempo limpiarlos. La infracción permite a los atacantes explotar los puntos finales de SLP para generar grandes respuestas y luego transmitirlas a las víctimas.

Índice
  1. Ataques DDoS de reflexión y amplificación
  2. La vulnerabilidad del SLP
  3. Mitigación de vulnerabilidad SLP

Ataques DDoS de reflexión y amplificación

La llamada técnica de ataque de reflexión DDoS implica enviar tráfico a un servidor y hacer que éste envíe su respuesta a una dirección IP diferente. Este tipo de ataque generalmente funciona con protocolos de comunicación basados ​​en el Protocolo de datagramas de usuario (UDP). UDP es, junto con TCP (Protocolo de control de transmisión), uno de los principales protocolos de transmisión de datos en Internet. Sin embargo, a diferencia de TCP, UDP fue diseñado para brindar velocidad y no tiene controles adicionales, lo que lo hace vulnerable a la suplantación de direcciones de origen. Esto significa que un atacante puede enviar un paquete UDP a un servidor, pero colocar en el paquete una dirección IP de origen diferente a la suya propia. Luego, el servidor enviará su respuesta a la dirección IP de origen definida.

Además del efecto de reflexión, que oculta el origen real del tráfico, algunos protocolos UDP amplifican el tráfico resultante, lo que significa que la respuesta generada es mucho mayor que la solicitud inicial. Esto se llama amplificación DDoS y es muy útil para los atacantes porque genera más tráfico no solicitado hacia un objetivo del que podrían enviarle paquetes directamente desde máquinas controladas. La amplificación DDoS funciona con varios protocolos, incluidos DNS (Sistema de nombres de dominio), mDNS (DNS de multidifusión), NTP (Protocolo de tiempo de red), SSDP (Protocolo simple de descubrimiento de servicios), SNMP (Protocolo simple de administración de red) y otros, porque todos usan Protocolo UDP para transmisión. Por lo tanto, se puede abusar de los servidores expuestos a Internet que aceptan paquetes en estos protocolos y generan respuestas para amplificar los ataques de inundación. Históricamente, estos protocolos ya se han utilizado para generar algunos de los ataques DDoS más grandes conocidos.

La vulnerabilidad del SLP

Creado en 1997, el Protocolo de ubicación de servicios (SLP) es un protocolo más antiguo, originalmente destinado al descubrimiento automatizado de servicios y la configuración dinámica entre aplicaciones en redes locales. El demonio SLP de un sistema mantiene un directorio de servicios disponibles, como impresoras, servidores de archivos y otros recursos de red. Escucha solicitudes en el puerto UDP 427. Aunque SLP no estaba destinado a estar expuesto fuera de las redes locales, los investigadores de Bitsight y Curesec identificaron más de 54.000 puntos finales que aceptan conexiones SLP a través de Internet. Estos dispositivos pertenecen a más de 2.000 empresas en todo el mundo y cubren 670 tipos de productos diferentes, incluidas instancias del hipervisor VMware ESXi, impresoras Konica Minolta, enrutadores Planex, el Módulo de gestión integrada (IMM) de IBM y SMC IPMI.

Como muchos otros protocolos basados ​​en UDP, las instancias públicas de SLP se pueden utilizar para la amplificación de DDoS porque los atacantes pueden consultar los servicios disponibles en un servidor SLP. Para esta solicitud de 29 bytes, la respuesta del servidor suele estar entre 48 y 350 bytes, un factor de amplificación de 1,6 a 12 veces. Pero los investigadores han descubierto que muchas implementaciones SLP permiten a usuarios no autenticados registrar nuevos servicios arbitrarios en un punto final SLP, aumentando así las respuestas posteriores del servidor hasta el límite práctico de paquetes UDP, que es 65.536 bytes.

Lo único que pueden hacer los atacantes es enviar paquetes al servidor SLP para registrar otros servicios hasta que su búfer esté lleno y el servidor ya no acepte más registros. Luego pueden llevar a cabo un ataque de reflexión común enviando solicitudes de listados de servicios con una dirección IP de origen falsificada. El posible factor de amplificación es de hasta x2200, con solicitudes de 29 bytes que generan respuestas de 65.000 bytes. Ante la gran cantidad de productos afectados, los investigadores coordinaron la divulgación de la vulnerabilidad a través de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que emitió su propia alerta. VMware también emitió un aviso para ESXi, especificando que solo las versiones al final de su vida útil del hipervisor se vieron afectadas. La vulnerabilidad se enumera en referencia CVE-2023-29552 y se le asigna una puntuación de gravedad CVSS de 8,6 (alta).

Mitigación de vulnerabilidad SLP

"SLP debe desactivarse en todos los sistemas que operan en redes que no son de confianza, incluidos aquellos conectados directamente a Internet", dijeron los investigadores. “Si esto no es posible, se deben configurar firewalls para filtrar el tráfico en los puertos UDP y TCP 427. Esto evitará que atacantes externos accedan al servicio SLP”, agregaron. La vulnerabilidad CVE-2023-29552 no es la primera que afecta a SLP. A lo largo de los años, VMware ha solucionado muchas fallas en su implementación de OpenSLP en ESXi y, en 2021, el proveedor deshabilitó el servicio de forma predeterminada en las últimas versiones. VMware ahora recomienda a todos sus clientes que desactiven este servicio, especialmente porque las bandas de ransomware han comenzado a explotar una de estas vulnerabilidades denominada CVE-2021-21974, que facilita un desbordamiento del búfer.

Los países con mayor número de terminales vulnerables son Estados Unidos, Reino Unido, Japón, Alemania y Canadá. Desafortunadamente, debido a que estos dispositivos son propiedad de muchas empresas, es probable que un porcentaje significativo de ellos permanezca expuesto a Internet durante mucho tiempo, lo que aumenta las posibilidades de ver pronto ataques DDoS que exploten la amplificación SLP.