SLP 是一个服务发现协议,使计算机和其他设备能够在局域网中找到服务,如打印机、文件服务器和其他网络资源。攻击者利用受 CVE-2023-29552 漏洞影响的 SLP 实体,发起放大攻击,用超大规模虚假流量攻击目标服务器。要做到这一点,攻击者需要做的就是在 UDP 427 端口找到一个 SLP 服务器并注册 ,直到 SLP 拒绝更多的条目,然后以受害者的 IP 作为源地址反复对该服务发起请求。这种攻击可以产生高达 2200 倍的放大系数,导致大规模的 DoS 攻击。为了减轻这种威胁,建议用户在直接连接到互联网的系统上禁用 SLP,或者过滤 UDP 和 TCP 427 端口的流量。
研究人员表示:同样需要注意的是,实施强有力的认证和访问控制,只允许授权用户访问正确的网络资源,并对访问进行密切监控和审计。网络安全公司 Cloudflare 在一份公告中说,预计基于 SLP 的 DDoS 攻击的普遍性将在未来几周内大幅上升,因为攻击者正在尝试新的 DDoS 放大载体。
新漏洞可能很快会被黑客和一些不发分子应用于DDOS攻击,进而发动漏洞攻击,勒索病毒攻击等严重影响企业网络安全。“解决 CVE-2023-29552 的最佳选择是升级到不受漏洞影响的受支持版本系列,”VMware 备受瞩目的产品事件响应经理 Edward Hawkins说。“代替升级到受支持的版本,ESXi 管理员应确保他们的 ESXi 主机不会暴露在不受信任的网络中,并禁用 SLP。”