La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente inserito nel proprio catalogo delle vulnerabilità conosciute sfruttate (KEV) una falla di alta gravità nel Service Location Protocol (SLP), segnalando l’esistenza di prove che attestano il suo sfruttamento attivo. La vulnerabilità, tracciata come CVE-2023-29552 e con un punteggio CVSS di 7.5, è legata a una vulnerabilità di tipo denial-of-service (DoS) che potrebbe essere sfruttata per orchestrare attacchi DoS di amplificazione su larga scala.
Vulnerabilità e impatti potenziali
La falla è stata divulgata da Bitsight e Curesec nell’aprile di quest’anno. “Il Service Location Protocol (SLP) contiene una vulnerabilità DoS che permette a un attaccante remoto non autenticato di registrare servizi e utilizzare traffico UDP falsificato per condurre un attacco DoS con un significativo fattore di amplificazione,” ha spiegato la CISA. Il protocollo SLP permette ai sistemi all’interno di una rete locale (LAN) di identificarsi reciprocamente e di stabilire comunicazioni.
Non sono noti i dettagli specifici riguardanti le modalità di sfruttamento della vulnerabilità, ma Bitsight aveva precedentemente avvisato che la lacuna potrebbe essere utilizzata per realizzare attacchi DoS con un alto fattore di amplificazione. “Questo elevato fattore di amplificazione consente a un attore minaccioso con risorse limitate di avere un impatto significativo su una rete e/o server preso di mira attraverso un attacco di amplificazione DoS per riflessione,” hanno affermato.
In risposta agli attacchi che sfruttano questa vulnerabilità, le agenzie federali sono obbligate ad adottare le misure di mitigazione necessarie, che includono la disattivazione del servizio SLP sui sistemi operanti in reti non fidate, entro il 29 novembre 2023, per proteggere le proprie reti da minacce potenziali.