DDoS Attacks

サービス ロケーション プロトコル (SLP) の新しい反射型サービス拒否 (DoS) 増幅の脆弱性により、攻撃者は 2,200 倍の増幅で大規模なサービス拒否攻撃を開始できます。

CVE-2023-29552 として追跡されているこの欠陥は、BitSight と Curesec の研究者によって発見されました。2,000 を超える組織が、DDoS 増幅攻撃で使用するために約 54,000 の悪用可能な SLP インスタンスを公開するデバイスを使用していると彼らは言います。

脆弱なサービスには、VMWare ESXi ハイパーバイザー、Konica Minolta プリンター、IBM 統合管理モジュール、世界中の無防備な組織によって展開された Planex ルーターが含まれます。

最も脆弱な事例は、米国、英国、日本、ドイツ、カナダ、フランス、イタリア、ブラジル、オランダ、およびスペインにあり、テクノロジー、電気通信、ヘルスケア、保険、金融、ホスピタリティ、および交通機関。

脆弱な SLP インスタンスのマップ
脆弱な SLP インスタンスのマップ(BitSight)

SLP の脆弱性

サービス ロケーション プロトコル (SLP) は、ローカル エリア ネットワーク (LAN) で使用するために 1997 年に作成された古いインターネット プロトコルであり、ポート 427 で UDP および TCP を介してサービスを利用できるシステムを使用して、デバイス間の接続と通信を容易にします。

その使用目的は公共のインターネット上で公開されることはありませんでしたが、組織は何年にもわたって何万ものデバイスで SLP を公開してきました。

「Service Location は、ローカル エリア ネットワーク内のアプリケーションに動的な構成メカニズムを提供します。これは、インターネット全体のグローバルな解決システムではありません。むしろ、共有サービスを使用してエンタープライズ ネットワークにサービスを提供することを目的としています」と、プロトコルの説明を読みます。

BitSight によると、これらのインスタンスはすべて CVE-2023-29552 (CVSS スコア: 8.6) に対して脆弱であり、攻撃者はこれを利用してターゲットに対して反射的な DoS 増幅攻撃を仕掛けることができます。

より具体的には、この脆弱性により、認証されていない攻撃者が SLP サーバーに任意のサービスを登録し、応答の内容とサイズを操作して最大 2,200 倍の増幅率を達成することができます。

このように公開された多数のサーバーにより、攻撃者は企業、政府機関、および重要なサービスに対して大規模な DDoS 攻撃を実行し、到達不能にするか、期待どおりに機能しなくなる可能性があります。

この欠陥の重大な性質のため、米国国土安全保障省のサイバーセキュリティおよびインフラストラクチャ エージェンシー (CISA) は、影響を受ける可能性のあるベンダーに脆弱性を知らせるために広範なアウトリーチを実施しました。

DoS増幅

DoS 増幅攻撃では、攻撃対象の送信元 IP アドレスを含むリクエストを脆弱なデバイスに送信し、悪用されたサービス内でデータのサイズを最大まで増幅させてから、被害者に応答を解放します。

リクエスト(左)とリプライ(右)
リクエスト(左)とリプライ(右) (BitSight)

通常、SLP サーバーからの典型的な応答パケットのサイズは 48 ~ 350 バイトであるため、操作を行わなければ、増幅率は最大 12 倍に達する可能性があります。

ただし、CVE-2023-29552 を悪用すると、応答バッファがいっぱいになるまで新しいサービスを登録することで、サーバーの UDP 応答サイズを増やすことができます。

サーバーの応答バッファをロードしています。
サーバーに新しいサービスをロードする(Bitsight)

これにより、攻撃者は最大 2,200 倍の増幅率を達成し、29 バイトの小さなリクエストをターゲットに向けられた 65,000 バイトの巨大なレスポンスに変換できます。

「この非常に高い増幅係数により、リソース不足の脅威アクターが、反射的な DoS 増幅攻撃を介して、標的のネットワークやサーバーに重大な影響を与えることができます」とBitSightレポートは警告しています。

実際の攻撃シナリオでは、攻撃者は複数の SLP インスタンスを利用してそのような攻撃を開始し、対応を調整して、大量のトラフィックでターゲットを圧倒します。

組織の資産を潜在的な悪用から保護するには、インターネットまたは信頼できないネットワークに公開されているシステムで SLP を無効にする必要があります。

これが不可能な場合は、SLP サービスを悪用する悪意のある要求のメイン エントリである UDP および TCP ポート 427 でトラフィックをフィルタリングするファイアウォールを構成することをお勧めします。

VMWare はこの問題に関する速報も発行しており、この問題はサポートされなくなった古い ESXi リリースにのみ影響することを明確にし、信頼できないネットワークにそれらを公開しないように管理者にアドバイスしています。