Брешь в протоколе обнаружения сервисов позволяет усилить DDoS в 2200 раз

Брешь в протоколе обнаружения сервисов позволяет усилить DDoS в 2200 раз

Брешь в протоколе обнаружения сервисов позволяет усилить DDoS в 2200 раз

В протоколе обнаружения сервисов (Service Location Protocol, SLP) нашли опасную уязвимость, с помощью которой злоумышленники могут усилить DDoS-атаки в 2200 раз. Всего в Сети можно найти около 54 тысяч уязвимых SLP-установок.

Проблема отслеживается под идентификатором CVE-2023-29552, на нее обратили внимание исследователи из BitSight и Curesec. По словам специалистов, более двух тысяч организаций используют устройства с уязвимыми SLP-установками.

Среди затронутых систем есть гипервизоры VMWare ESXi, принтеры Konica Minolta, модули IBM Integrated Management и маршрутизаторы Planex Routers. Большинство дырявых установок нашлось в США, Великобритании, Японии, Германии, Канаде, Франции, Италии, Бразилии, Испании и Нидерландах.

 

Протокол обнаружения сервисов был создан в 1997 для использования в сетях LAN, на сегодняшний день он являются уже устаревшим. Подключение и взаимодействие устройств в случае с SLP осуществляется через UDP и TCP по порту 427.

Изначально подразумевалось, что SLP не должен торчать в Сеть, однако организации годами открывали его на десятках тысяч устройств.

Как отметили в BitSight, все эти устройства содержат уязвимость CVE-2023-29552, получившую 8,6 балла по шкале CVSS. С помощью этой бреши атакующие могут значительно усилить DDoS-атаки на своих жертв.

Если говорить конкретнее, баг позволяет неаутентифицированным злоумышленникам зарегистрировать произвольные службы на SLP-сервере, а также манипулировать контентом и размером ответа, чтобы достичь максимальной амплификации — в 2200 раз.

Организациям рекомендуют отключить SLP на торчащих в Сеть устройствах. Для защиты можно также настроить файрвол на фильтрацию трафика UDP и TCP на порту 427.

Напомним, по данным экспертов, продолжительность DDoS-атак сократилась в шесть раз.

Роскомнадзор заявил, что не блокирует EA Sports FC и Battlefield 6

Российские игроки снова столкнулись с проблемами доступа к зарубежным сервисам, и снова Роскомнадзор говорит, что это не он. На фоне жалоб пользователей из России ведомство заявило, что не ограничивает доступ к играм EA Sports FC и Battlefield 6.

Ранее СМИ и телеграм-каналы писали, что у российских игроков возникли проблемы с работой сервисов Electronic Arts, в том числе с футбольным симулятором EA Sports FC и шутером Battlefield 6.

«Роскомнадзор не ограничивает доступ к играм EA Sports FC и Battlefield 6», — сообщили в ведомстве, комментируя ситуацию.

История выглядит уже почти как отдельный жанр: пользователи жалуются на недоступность сервиса, начинают подозревать блокировку, после чего регулятор выходит с коротким заявлением в духе «мы ничего не трогали».

Похожий сценарий недавно был со Steam. После жалоб российских пользователей Роскомнадзор также заявил, что не блокирует платформу Valve.

Еще один свежий пример — проблемы с доступом к PyPI, крупнейшему репозиторию пакетов для Python. Тогда российские разработчики массово сообщали о сбоях, но РКН заявил, что не ограничивает работу сервиса и не фиксирует проблем со своей стороны. Позже PyPI снова заработал в штатном режиме.

Пока причина неполадок с сервисами Electronic Arts остаётся неясной. Это может быть технический сбой, проблемы маршрутизации, ограничения на стороне зарубежной инфраструктуры или что-то еще. Но официальная позиция Роскомнадзора уже озвучена: EA Sports FC и Battlefield 6 ведомство не блокирует.

Для геймеров это, правда, слабое утешение.

RSS: Новости на портале Anti-Malware.ru