CVE-2023-29552

Суть уязвимости

CVE-2023-29552 — это критическая уязвимость в протоколе Service Location Protocol (SLP), которая позволяет проводить атаки типа «отказ в обслуживании» (DoS) с использованием отражения и усиления трафика (Reflected DoS).

Злоумышленник может удаленно и без аутентификации регистрировать произвольные службы в SLP-директории, манипулируя размером ответа сервера. При отправке поддельного UDP-запроса с IP-адресом жертвы, сервер SLP направляет на этот адрес ответ, объем которого может превышать размер запроса в 2200 раз (коэффициент усиления ~2200x). Это делает SLP одним из самых опасных векторов для мощных DDoS-атак.

Как исправить

Поскольку протокол SLP считается устаревшим и редко используется в современных открытых сетях, основным методом исправления является полное отключение службы на всех устройствах, где она не является критически важной.

1. Отключение службы в системах Linux (systemd):

systemctl stop slpd

systemctl disable slpd

1. Отключение службы в VMware ESXi:

esxcli system slp stats get

/etc/init.d/slpd stop

esxcli network firewall ruleset set -r printereslps -e false

chkconfig slpd off

Временные меры

Если полное отключение SLP невозможно по технологическим причинам, необходимо внедрить компенсирующие меры контроля для минимизации риска эксплуатации.

1. Блокировка входящего трафика по порту UDP/TCP 427 на сетевом периметре (Firewall/ACL):

iptables -A INPUT -p udp --dport 427 -j DROP

iptables -A INPUT -p tcp --dport 427 -j DROP

1. Настройка фильтрации трафика только для доверенных IP-адресов (белый список):

iptables -A INPUT -p udp -s <TRUSTED_IP> --dport 427 -j ACCEPT

1. Использование политик безопасности для запрета регистрации новых служб без аутентификации, если это поддерживает конкретная реализация ПО.

2. Перевод работы SLP исключительно на протокол TCP, что исключает возможность подмены IP-адреса (IP Spoofing) и предотвращает амплификацию.