一、漏洞详情
SLP是一个服务发现协议,使计算机和其他设备能够在局域网中找到服务,如打印机、文件服务器和其他网络资源。
近日,监测到服务定位协议(SLP)中的一个拒绝服务漏洞(CVE-2023-29552),未经身份认证的远程攻击者利用此漏洞可以注册任意服务,随后攻击者可以使用欺骗性UDP流量对目标发起反射型DoS攻击。
易受攻击的服务包括VMWare ESXi Hypervisor、Konica Minolta打印机、Planex路由器、IBM集成管理模块 (IMM)、SMC IPMI和665种其它产品类型。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
所有在不受信任的网络(如直接连接到Internet的系统)上运行的SLP实例。
易受攻击的服务包括:VMWare ESXi Hypervisor、Konica Minolta打印机、Planex路由器、IBM 集成管理模块 (IMM)、SMC IPMI和665种其它产品类型。
三、修复建议
1、升级版本
目前VMware已经对该漏洞作出响应,并确认当前支持的ESXi版本(ESXi 7.x和 8.x系列)不受影响,但已达到一般支持终止(EOGS)的版本(例如 6.7 和 6.5)会受到 CVE-2023-29552 的影响,详情可参考:https://blogs.vmware.com/security/2023/04/vmware-response-to-cve-2023-29552-reflective-denial-of-service-dos-amplification-vulnerability-in-slp.html
2、临时措施
避免非必要设备暴露于互联网或不受信任网络的系统上禁用SLP。
如不能禁用SLP,可以配置防火墙来过滤TCP和UDP端口427上的流量,防止攻击者访问SLP服务。