آسیب‌پذیری بسیار شدید SLP مورد سواستفاده فعال قرار گرفته‌است

آسیب‌پذیری بسیار شدید SLP مورد سواستفاده فعال قرار گرفته‌است

تاریخ ایجاد


آسیب‌پذیری با کد شناسه CVE-2023-29552 و امتیاز CVSS 7.5 یک آسیب‌پذیری انکار سرویس است که می‌تواند برای اجرای حملات گسترده تشدید انکارسرویس استفاده شود. پروتکل مکان سرویس(SLP) یک آسیب‌پذیری انکارسرویس را دربر دارد که می‌تواند به یک مهاجم  احرازهویت نشده از راه دور اجازه دهد خدمات را ثبت کند و از ترافیک UDP جعلی برای انجام یک حمله انکار سرویس (DoS) با ضریب تقویت قابل توجهی استفاده کند. SLP پروتکلی است که به سیستم‌هایی که در یک شبکه‌ محلی مشترک(LAN) هستند امکان تشخیص و برقراری ارتباط با یکدیگر را می‌دهد.
جزئیات دقیق پیرامون ماهیت بهره‌برداری از این نقص شدید امنیتی در حال حاضر ناشناخته است، اما Bitsight قبلاً هشدار داده بود که این نقص می تواند برای DoS با ضریب تقویت بالا مورد سوءاستفاده قرار گیرد. این ضریب تقویت بسیار بالا، به یک مهاجم با دسترسی کمتری به منابع، اجازه می دهد تا از طریق یک حمله تقویتی بازتابی DoS تاثیر قابل توجهی بر روی یک شبکه هدفمند یا سرور داشته باشد.

با توجه به حملات دنیای واقعی که این نقص را به کار می‌گیرند، سازمان‌ها باید اقدامات کاهشی لازم را از جمله غیرفعال کردن سرویس SLP در سیستم‌های در حال اجرا در شبکه‌های غیرقابل اعتماد برای ایمن کردن شبکه‌های خود در برابر تهدیدات احتمالی اعمال کنند.

 پلتفرم‌های تحت تاثیر
VMware این آسیب‌پذیری را بررسی کرده و مشخص کرده است که نسخه‌های ESXi که در حال حاضر پشتیبانی می‌شوند (ESXi 7.x, 8.x) تحت تأثیر قرار نمی‌گیرند. با این حال، نسخه هایی که به پایان پشتیبانی عمومی (EOGS) رسیده اند، مانند 6.7 و 6.5، تحت تأثیر این آسیب‌پذیری قرار گرفته اند.
طبق دستورالعمل‌های قبلی، VMware توصیه می‌کند که بهترین گزینه برای رسیدگی به این نقص، ارتقا به یک نسخه پشتیبانی‌شده است که تحت تأثیر آسیب‌پذیری قرار نگیرد. ESXi 7.0 U2c و جدیدتر، و ESXi 8.0 GA و جدیدتر، ضمن حصول اطمینان از اینکه که سرویس SLP به‌طور پیش‌فرض غیرفعال و توسط فایروال فیلتر شده‌باشد. مدیران ESXi ‌همچنین باید بررسی کنند که هاست ESXi در معرض شبکه های نامعتبر قرار نگرفته‌باشند و همچنین SLP را طبق دستورالعمل های KB76372 غیرفعال کنند.

منابع