El Protocolo de ubicación de servicios (SLP, RFC 2608 ) permite que un atacante remoto no autenticado registre servicios arbitrarios. Esto podría permitir que un atacante use tráfico UDP falsificado para realizar un ataque de denegación de servicio (DoS) con un factor de amplificación significativo.

Investigadores han descubierto una forma de abusar de SLP, identificado como CVE-2023-29552 (8.6), para realizar ataques DoS de alto factor de amplificación utilizando direcciones de origen falsificadas.

Esto incluye VMWare ESXi Hypervisor, impresoras Konica Minolta, enrutadores Planex, IBM Integrated Management Module (IMM), SMC IPMI y otros 665 tipos de productos.

Los 10 principales países con la mayor cantidad de organizaciones que tienen instancias SLP vulnerables son EEUU, Reino Unido, Japón, Alemania, Canadá, Francia, Italia, Brasil, Países Bajos y España.

Muchos servicios SLP visibles en Internet parecen ser sistemas más antiguos y probablemente abandonados. Los administradores deben considerar deshabilitar o restringir el acceso a la red a los servidores SLP o, alternativamente, filtrar el tráfico en el puerto UDP y TCP 427.

Algunas organizaciones, como VMware, han evaluado la CVE y han proporcionado una respuesta; consulte los enlaces de referencia para obtener más información.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es