SLP Schwachstelle bedroht u.a. VMware ESXi Versionen 6.x und älter

Forscher von Bitsight und Curesec haben gemeinsam eine hochgefährliche Schwachstelle - mit der Bezeichnung CVE-2023-29552 - im Service Location Protocol (SLP), einem veralteten Internetprotokoll, entdeckt.

---

Forscher von Bitsight und Curesec haben gemeinsam eine hochgefährliche Schwachstelle - mit der Bezeichnung CVE-2023-29552 - im Service Location Protocol (SLP), einem veralteten Internetprotokoll, entdeckt. Angreifer, die diese Schwachstelle ausnutzen, könnten verwundbare Instanzen nutzen, um massive Denial-of-Service (DoS)-Verstärkungsangriffe mit einem Faktor von bis zu 2200 zu starten, wodurch es sich möglicherweise um einen der größten je gemeldeten Verstärkungsangriffe handelt. Im Februar 2023 identifizierte Bitsight über 2.000 globale Organisationen und über 54.000 SLP-Instanzen - darunter VMware ESXi Hypervisor, Konica Minolta-Drucker, Planex-Router, IBM Integrated Management Module (IMM), SMC IPMI und andere -, die Angreifer potenziell nutzen könnten, um DoS-Angriffe auf ahnungslose Organisationen in aller Welt zu starten.

Angesichts des kritischen Charakters der Schwachstelle und der möglichen Folgen einer Ausnutzung koordinierte Bitsight die Offenlegung mit der Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums und den betroffenen Organisationen. Bitsight arbeitete auch mit Denial-of-Service-Teams bei großen IT-Service-Management-Unternehmen zusammen, um bei der Behebung des Problems zu helfen. Die CISA führte eine umfassende Kontaktaufnahme mit potenziell betroffenen Anbietern durch.

VMware hat diese Schwachstelle untersucht und festgestellt, dass die derzeit unterstützten ESXi-Versionen (ESXi 7.x- und 8.x-Linien) nicht davon betroffen sind.

Es wurde jedoch festgestellt, dass Versionen, die das Ende des allgemeinen Supports (EOGS) erreicht haben, wie 6.7 und 6.5, von CVE-2023-29552 betroffen sind. Wie in früheren Anleitungen und Best Practices empfohlen, empfiehlt VMware, dass die beste Option zur Behebung von CVE-2023-29552 darin besteht, ein Upgrade auf eine unterstützte Versionslinie durchzuführen, die nicht von der Sicherheitslücke betroffen ist. ESXi 7.0 U2c und neuer sowie ESXi 8.0 GA und neuer werden mit einem gehärteten SLP-Dienst ausgeliefert, der standardmäßig deaktiviert ist und von der ESXi-Firewall gefiltert wird. Anstelle eines Upgrades auf eine unterstützte Version sollten ESXi-Administratoren sicherstellen, dass ihre ESXi-Hosts nicht mit nicht vertrauenswürdigen Netzwerken verbunden sind und SLP gemäß den Anweisungen in KB76372 deaktivieren.

Quellen: Bitsight >>hier<<< , VMware >>hier<<

---