一项关于互联网旧有服务位置协议(SLP)的高危漏洞可能让攻击者伪造用户数据报协议(UDP)流量,实施大幅度放大型的拒绝服务攻击(DoS)。此漏洞被称为 ,可能会造成高达2,200倍的流量放大,成为历史上最大放大攻击之一。
研究人员在4月25日发表的联合研究中提到,利用此漏洞,攻击者可以通过发送小请求到服务器,伪造源IP地址为受害者的IP地址。服务器随后会将比请求大得多的响应发送回受害者的IP地址,从而产生大流量。
“攻击者仅仅是在利用互联网中未必属于目标的系统,来向目标发送大量流量。”研究人员说明道。
SLP协议于1997年通过 创建,旨在为局域网中的应用提供动态配置机制。虽然SLP并不应对公众互联网开放,但研究人员发现其在互联网中多次出现。
在2月份,研究人员识别出全球超过2000个组织以及约54,000个在公网上的SLP实例。涉及的产品包括:VMwareESXi虚拟机监控程序、京瓷美能达打印机、Planex路由器和IBM集成管理模块(IMM)。攻击者可能会利用这些访问权限在全球范围内发起DoS攻击。
鉴于该漏洞的严重性及其可能导致的后果,Bitsight与网络安全和基础设施安全局(CISA)协调了公开披露的工作,CISA在4月25日发布了一份 。
反射型 攻击已经存在多年,确实会造成干扰。Tanium的首席安全顾问TimothyMorris表示,攻击者还可以利用此类攻击作为掩护,进行其他恶意活动。Morris还提到,SLP协议原本仅用于局域网资源广告,而不是不受信任的网络,如互联网。然而,研究人员和攻击者在协议和应用的原有意图之外发现的漏洞,正是此次事件的根源。
Morris建议,组织在运行SLP时要禁用互联网等不受信任的网络,过滤防火墙上的TCP和UDP427,并更新/修补运行易受攻击版本的SLP的系统。他还强调,组织应准确盘点硬件和软件,并进行网络监控。
“防范这一漏洞的方法其实挺直接。”Morris如是说。
Huntress的高级ThreatOps分析团队领导DrayAgha表示,网络安全长期以来都是一种“付费参与”的情境。尽管规模较大的公司由于拥有较充足的预算,能够借助专门的安全人员和工具规避DDoS攻击的严重影响,但Huntress发现,小型企业缺乏相应的预算来应对各种威胁。
“DDoS攻击可能会摧毁企业,使组织获利的能力受损,同时产生声誉影响。”Agha指出。“对于那些想要保护自己的小型组织,我们建议首先进行资产盘点:你不能保护你不知道存在的东西。然后,优先进行补丁更新,检查它们的外部网络边界并尽可能减小攻击面。”
通过以上措施,小企业能够提升其抵御DDoS攻击的能力,维护自身的正常运营与声誉。
Leave a Reply