A agência de segurança cibernética dos EUA CISA emitiu na quarta-feira um alerta sobre os atores de ameaças que exploram uma vulnerabilidade do Service Location Protocol (SLP) que permite ataques de negação de serviço (DoS) com um alto fator de amplificação.
Rastreada como CVE-2023-29552 (pontuação CVSS de 8,6), a falha foi divulgada em abril, quando pesquisadores de segurança da Bitsight e Curesec alertaram que ela permite que invasores remotos não autenticados registrem serviços arbitrários e usem tráfego UDP falsificado para amplificar a magnitude de Ataques DoS.
Como o defeito de segurança permite que os invasores combinem a amplificação DoS reflexiva típica com o registro do serviço, o fator de amplificação pode chegar a 2.000, alertaram os pesquisadores.
Em abril, a Bitsight e a Curesec alertaram que milhares de organizações estavam usando o SLP, um protocolo de Internet herdado destinado à descoberta de redes locais que nunca foi planejado para ser exposto à web pública.
Os pesquisadores identificaram cerca de 34 mil sistemas exploráveis com SLP, observando que muitos deles são provavelmente sistemas mais antigos e abandonados, expondo seus proprietários a ataques.
Vários fornecedores, incluindo VMware e NetApp, confirmaram o impacto do bug, pedindo aos administradores que desabilitem o protocolo SLP ou garantam que suas instâncias não sejam acessíveis pela Internet.
Além de desabilitar o SLP em sistemas conectados a redes não confiáveis ou diretamente acessíveis pela web, os administradores são aconselhados a definir regras de firewall para filtrar o tráfego na porta UDP e TCP 427, o que deve impedir a exploração.
O código de prova de conceito (PoC) direcionado ao CVE-2023-29552 para amplificação DoS está disponível desde abril, mas o aviso da CISA parece ser o primeiro relatório da falha sendo ativamente explorada em ataques.
Na quarta-feira, a agência adicionou CVE-2023-29552 ao seu Vulnerabilidades exploradas conhecidas Catálogo, instando os administradores a aplicar as mitigações disponíveis.
De acordo com a Diretiva Operacional Vinculante (BOD) 22-01, as agências federais têm 21 dias para identificar sistemas vulneráveis em seus ambientes e tomar as medidas necessárias para protegê-los.