Cyberthreat.id - Telah muncul rincian tentang kerentanan keamanan tingkat tinggi yang memengaruhi Service Location Protocol (SLP) yang dapat dipersenjatai untuk meluncurkan serangan denial-of-service volumetrik terhadap target. 

“Penyerang yang mengeksploitasi kerentanan ini dapat memanfaatkan contoh yang rentan untuk meluncurkan serangan amplifikasi Denial-of-Service (DoS) besar-besaran dengan faktor setinggi 2.200 kali, berpotensi menjadikannya salah satu serangan amplifikasi terbesar yang pernah dilaporkan,” kata peneliti Pedro Umbelino dari Bitsight dan Marco Lux dari Curesec dalam sebuah laporan yang dibagikan dengan The Hacker News. 

Kerentanan, yang diberi pengenal CVE-2023-29552 (skor CVSS: 8,6), dikatakan memengaruhi lebih dari 2.000 organisasi global dan lebih dari 54.000 instans SLP yang dapat diakses melalui internet. Ini termasuk VMWare ESXi Hypervisor, printer Konica Minolta, Planex Routers, IBM Integrated Management Module (IMM), SMC IPMI, dan 665 jenis produk lainnya.

Setidaknya terdapat 10 negara teratas dengan organisasi terbanyak yang memiliki instans SLP rentan adalah AS, Inggris Raya, Jepang, Jerman, Kanada, Prancis, Italia, Brasil, Belanda, dan Spanyol. SLP adalah protokol penemuan layanan yang memungkinkan komputer dan perangkat lain menemukan layanan di jaringan area lokal seperti printer, server file, dan sumber daya jaringan lainnya.

Eksploitasi CVE-2023-29552 yang berhasil dapat memungkinkan penyerang mengambil keuntungan dari contoh SLP yang rentan untuk meluncurkan serangan amplifikasi refleksi dan membanjiri server target dengan lalu lintas palsu. 

Untuk melakukannya, yang perlu dilakukan penyerang hanyalah menemukan server SLP di port UDP 427 dan mendaftarkan "layanan hingga SLP menolak lebih banyak entri", diikuti dengan berulang kali memalsukan permintaan ke layanan tersebut dengan IP korban sebagai alamat sumber. 

Serangan semacam ini dapat menghasilkan faktor amplifikasi hingga 2.200, menghasilkan serangan DoS skala besar. Untuk mengurangi ancaman, pengguna disarankan untuk menonaktifkan SLP pada sistem yang terhubung langsung ke internet, atau memfilter lalu lintas pada UDP dan TCP port 427. 

“Sama pentingnya untuk menegakkan otentikasi dan kontrol akses yang kuat, yang memungkinkan hanya pengguna yang berwenang untuk mengakses sumber daya jaringan yang benar, dengan akses yang dipantau dan diaudit secara ketat,” kata para peneliti. 

Perusahaan keamanan web Cloudflare, dalam sebuah penasehat, mengatakan "memperkirakan prevalensi serangan DDoS berbasis SLP akan meningkat secara signifikan dalam beberapa minggu mendatang" karena pelaku ancaman bereksperimen dengan vektor amplifikasi DDoS yang baru. 

"Dampak agunan dari serangan refleksi/amplifikasi SLP berpotensi signifikan bagi organisasi yang server VMWare ESXi yang terpapar internet atau sistem lain yang mendukung SLP dapat disalahgunakan sebagai reflektor/amplifier DDoS," Netscout memperingatkan. 

Kerentanan ini juga menarik perhatian Cybersecurity and Infrastructure Security Agency (CISA) AS, yang memperingatkan kemungkinan serangan yang menyalahgunakan SLP untuk "melakukan serangan DoS faktor amplifikasi tinggi menggunakan alamat sumber palsu."

Protokol Lokasi Layanan (SLP, RFC 2608) memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mendaftarkan layanan sewenang-wenang," kata agensi tersebut. "Ini dapat memungkinkan penyerang menggunakan lalu lintas UDP palsu untuk melakukan serangan denial-of-service (DoS) dengan faktor amplifikasi yang signifikan." 

Temuan ini muncul ketika kelemahan berusia dua tahun yang sekarang ditambal dalam implementasi SLP VMware dieksploitasi oleh aktor yang terkait dengan ransomware ESXiArgs dalam serangan yang meluas awal tahun ini. 

Penyedia layanan virtualisasi mengatakan telah menyelidiki kekurangan tersebut dan menentukan bahwa rilis ESXi (garis ESXi 7.x dan 8.x) tidak terpengaruh, dan itu hanya memengaruhi versi lama yang telah mencapai akhir dukungan umum (EoGS). 

"Pilihan terbaik untuk menangani CVE-2023-29552 adalah meningkatkan ke jalur rilis yang didukung yang tidak terpengaruh oleh kerentanan," kata Edward Hawkins, manajer respons insiden produk profil tinggi VMware. 

"Sebagai pengganti pemutakhiran ke rilis yang didukung, admin ESXi harus memastikan bahwa host ESXi mereka tidak terpapar ke jaringan yang tidak tepercaya dan juga menonaktifkan SLP. []