CISA Adds SLP Flaw To Its Known Exploited Vulnerabilities Catalog
2023/11/09 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) が、SLP (Service Location Protocol) の脆弱性 CVE-2023-29552 (CVSS:7.5) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。SLP は、レガシーなサービス・プロトコルであり、コンピュータなどのデバイスにより、事前の設定なしに、LAN 内のサービスを見つけることを可能にするものだ。
この、サービス拒否 (DoS) の脆弱性 CVE-2023-29552 が、認証されていないリモートの攻撃者に悪用されると、任意のサービス登録の可能性が生じる。この脆弱性の悪用に成功した攻撃者は、なりすましの UDP トラフィックを使用し、大幅な増幅率でサービス拒否攻撃を行うことが可能になる。
脆弱性 CVE-2023-29552 は、2023年4月に Bitsight と Curesec により公表された。両社の研究者たちは、この脆弱性を悪用する攻撃者は、脆弱なインスタンスを利用して大規模なサービス拒否 (DoS) 増幅攻撃を仕掛けることが可能だと報告している。専門家たちは、この脆弱性を悪用することで、2200倍もの増幅率の達成が可能としており、これまでに報告された増幅攻撃の中でも、最大級になると指摘している。
この脆弱性は、世界中の 2,000以上の組織と、インターネットに公開されている 54,000以上の SLP インスタンスに影響を与える。そこに含まれるものには、VMWare ESXi Hypervisor/Konica Minolta printers/Planex Routers/IBM Integrated Management Module (IMM)/SMC IPMI などがある。Bitsight は、この脆弱性を CISA に報告し、影響を受ける組織にも報告した。
反射型 DoS 増幅攻撃では、被害者の送信元 IP アドレスを偽装したサーバへ向けて、攻撃者から小さなリクエストが送信される。続いて、このサーバは被害者の IP アドレスに応答するが、リクエストよりも遥かに大きなレスポンスを送信し、被害者のシステムに大量のトラフィックを生成する。
専門家からの警告は、今後の数週間のうちに脅威アクターたちが、脆弱性 CVE-2023-29552 を悪用して、反射型 DoS 増幅攻撃を開始するだろうというものだ。
脆弱な SLP インスタンスの大半は、米国/英国/日本/ドイツ/カナダ/フランス/イタリア/ブラジル/オランダ/スペインなどにある。
このレポートには、「脆弱性 CVE-2023-29552 から保護するためには、インターネットに接続されているような、信頼できないネットワーク上で動作している、すべてのシステムで SLP を無効化する必要がある。それが不可能な場合には、UDP/TCP ポート427 のトラフィックをフィルタリングするように、ファイアウォールを設定する必要がある。それにより、外部の攻撃者からの SLP サービスへのアクセスを阻止できる」と記されている。
米政府の BOD (Binding Operational Directive) 22-01 には、既知の脆弱性の悪用からネットワークを守るために、FCEB 機関は期日までに特定された脆弱性に対処しなければならないと記されている。CISA は連邦政府機関に対して、2023年11月29日までに、この欠陥を修正するよう命じている。
なお、専門家たちは、このカタログを民間組織も見直し、インフラの脆弱性に対処することを推奨している。
この脆弱性の悪用の範囲は、かなり広そうですね。CVE-2023-29552 に関しては、2023/04/25 にも「Service Location Protocol (SLP) の脆弱性:665 種類の製品に存在する高密度 DDoS の要因とは?」という記事がポストされていました。なお、文中でも Konica Minolta printers が指摘されているので、日本にも被害が及ぶ可能性が高いと捉えるべきでしょう。
IoT OT Security News 
You must be logged in to post a comment.