16/12/2024

Actu Cybersécurité

Alerte de la CISA : cette vulnérabilité dans le protocole SLP est activement exploitée !

L'agence américaine CISA, spécialisée dans la cybersécurité, a émis une alerte pour une faille de sécurité critique présente dans le protocole SLP car elle est exploitée au sein de cyberattaques. Faisons le point sur cette menace potentielle.

La CISA (Cybersecurity and Infrastructure Security Agency) a ajouté la faille de sécurité CVE-2023-29552 à son catalogue de vulnérabilités connues et exploitées. Cela signifie que cette CVE dans le protocole SLP est activement exploitée par les cybercriminels.

Quelques mots sur le protocole SLP

Créé en 1997, le SLP (Service Location Protocol) est un protocole relativement ancien. Il peut être utilisé par les machines et les équipements pour effectuer de la découverte automatique de services sur un réseau local. Lorsqu'il est actif, il est en écoute sur le port 427 en UDP.

Aujourd'hui, il reste implémenté par plusieurs entreprises puisqu'on le retrouve notamment sur les serveurs VMWare ESXi (via OpenSLP), l'IMM des serveurs IBM ou encore certaines imprimantes Konica Minolta.

La faille de sécurité CVE-2023-29552 dans SLP

Au début du mois d'avril 2023, la faille de sécurité CVE-2023-29552 a été révélée par Bitsight et Curesec. Associée à un score CVSS de 7.5 sur 10, elle peut être utilisée comme facteur d'amplification pour mener des attaques par déni de service distribué (DDoS) massives.

Sur le site de la CISA, nous pouvons lire : "Le protocole de localisation des services (SLP) présente une vulnérabilité de type "déni de service" qui pourrait permettre à un attaquant distant non authentifié d'enregistrer des services et d'utiliser un trafic UDP usurpé pour mener une attaque de déni de service avec un facteur d'amplification significatif." - En effet, le facteur d'amplification peut atteindre x2200, ce qui est énorme.

Aujourd'hui, il y a des équipements avec le SLP actif qui sont exposés sur Internet, notamment des serveurs VMware ESXi, ce qui représente une belle opportunité pour les cybercriminels. En avril dernier, Bitsight et Curesec avaient identifié plus de 54 000 terminaux exposés sur Internet et avec le service SLP actif.

Du côté de VMware, il y a déjà eu plusieurs bulletins de sécurité pour corriger des failles de sécurité dans SLP. Sur les dernières versions, le service est désactivé par défaut. N'hésitez pas à vérifier et vous pouvez utiliser cette page pour vous aider.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.