Neuer DDoS-Angriffsvektor: SLP-Schwachstelle ermöglicht Verstärkungsangriffe mit Faktor 2.200 

SECURITY INSIGHTS | 27. April 2023

Es wird voraussichtlich nicht lange dauern, bis Cyberkriminelle eine der über 50.000 im Internet sichtbaren anfälligen SLP-Instanzen für volumetrische Angriffe missbrauchen. Myra-Kunden können jedoch beruhigt sein.

Sicherheitsforschende von Bitsight und Curesec haben eine Schwachstelle im Service Location Protocol (SLP) entdeckt. Angreifer könnten die Lücke für vielfach verstärkte volumetrische DDoS-Angriffe unter Verwendung gefälschter Absenderadressen missbrauchen. Über verwundbare SLP-Instanzen sind DRDoS-Attacken (Distributed Reflected Denial of Service) mit einem Verstärkungsfaktor von bis zu 2200 möglich. Kunden von Myra Security sind auch vor diesem neuen Angriffsvektor automatisch geschützt – ganz gleich, ob sie unsere Application Security oder unsere Network & Infrastructure Security einsetzen.

SLP ist ein 1997 eingeführtes Diensterkennungsprotokoll, das es Computern und anderen Geräten ermöglicht, Dienste in einem lokalen Netzwerk wie Drucker, Dateiserver und andere Netzwerkressourcen zu finden. Es war nie für den Einsatz im öffentlichen Internet konzipiert. Dennoch waren im Februar mehr als 54.000 SLP-Instanzen online über UDP-Port 427 erreichbar. Sie alle könnten nun für Angriffe missbraucht werden. Bei vielen dieser im Internet sichtbaren SLP-Dienste handelt es sich offenbar um ältere und wahrscheinlich aufgegebene Systeme. Administratoren sollten daher den Netzwerkzugriff auf SLP-Server deaktivieren oder UDP- und TCP-Port 427 vorsorglich blockieren.

Die neu entdeckte Schwachstelle CVE-2023-29552 (CVSS-Score: 8.6) betrifft den Sicherheitsforschenden zufolge mehr als 2.000 Unternehmen weltweit. Die Lücke findet sich in über 670 Produkttypen, darunter VMware ESXi Hypervisor, Konica-Minolta-Drucker, Planex-Router, IBM Integrated Management Module (IMM) und SMC IPMI. Zu den zehn Ländern mit den meisten anfälligen SLP-Instanzen gehören die USA, Großbritannien, Japan, Deutschland, Kanada, Frankreich, Italien, Brasilien, die Niederlande und Spanien.

Aus technischer Sicht handelt es sich bei einer DRDoS-Attacke um eine Sonderform von DDoS. Hier stammen die schädlichen Anfragen nicht direkt vom Angreifer selbst oder von einem dafür aufgesetzten Botnet, sondern von regulären Internetdiensten. Diese funktionieren Kriminelle zur Waffe um, indem sie Internetprotokolle missbrauchen. So können sie beispielsweise per IP-Spoofing (dem Versenden von IP-Paketen mit gefälschter IP-Absenderadresse) Webdienste manipulieren, um den Traffic auf ein bestimmtes Ziel umzuleiten. Durch dieses Vorgehen verschleiern die Angreifer den eigentlichen Ursprung der DDoS-Attacke und sorgen gleichzeitig für eine massive Steigerung der abgefeuerten Bandbreite.

DRDoS-Attacken erfolgen in der Regel über hoch verstärkende Reflektoren wie DNS-Dienste, welche die kurzen Anfragen der Angreifer mit großen Datenpaketen beantworten. Auf diese Weise steigern solche Reflection-Attacken die Schlagkraft der Angriffe um ein Vielfaches, weshalb man alternativ – wie im Fall von SLP – auch von Amplification-Angriffen spricht.

Kunden von Myra können beruhigt sein: Unser DDoS-Schutz filtert Angriffstraffic wie fragmentiertes UDP automatisch heraus und verhindert somit von vornherein, dass Kundenleitungen geflutet werden. Sollte ein Angriff von Port 427 aus stattfinden, kann der bösartige Traffic isoliert werden und valider Traffic dank gesonderter Filterregeln den Kundenserver weiterhin erreichen.