Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday 26 April 2023

2023.04.26 - Nyhetsbrev

VMware utgir sikkerhetsoppdateringer for å håndtere zero-day sårbarheter. Tjenesten SLP kan brukes til å forsterke DDoS-angrep 2200 ganger.

VMware utgir sikkerhetsoppdateringer for å håndtere zero-day sårbarheter

VMware utgir sikkerhetsoppdateringer for å håndtere zero-day sårbarheter som kan bli kjedet sammen for å få kjørt angrepskode på selskapets Workstation- og Fusion-hypervisorer.

De to feilene er en del av en utnyttelseskjede som ble demonstrert av STAR Labs sikkerhetsforskere for en måned siden ved sikkerhetskonferansen Pwn2Own Vancouver 2023. Sårbarhet nr 1 kjent som CVE-2023-20869 og er en stack-basert buffer overflow sårbarhet i Bluetooth-enhetsdeling som tillater lokale angripere å kjøre kode som VMX-prosessen til den virtuelle maskinen. Sårbarhet nr 2 kjent som CVE-2023-20870 og er en svakhet i funksjonaliteten for å dele vertens Bluetooth-enheter med VMen, som gjør det mulig for ondsinnede aktører å lese privilegert informasjon som finnes i hypervisor-minnet fra en VM. VMware har også delt en midlertidig løsning for administratorer som ikke umiddelbart kan installere patcher for de to feilene på systemene sine.

VMware adresserte også to andre sikkerhetsfeil i sine produkter.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Tjenesten SLP kan brukes til å forsterke DDoS-angrep 2200 ganger

Mange DDoS-angrep blir utført ved å forsterke angrepstrafikken via sårbare UDP-tjenester som er tilgjengelig på nettet. Eksempler på tjenester som gjerne blir misbrukt er DNS og NTP. Angriper sender da en liten pakke med, spoofet til å se ut som om den blir sendt fra målet til angrepet, til en sårbar tjeneste. Tjenesten sender så svaret på forespørselen til målet, men svaret er mye større. Angriperen oppnår dermed både å få forsterke angrepet sitt og skjule hvor angrepet kommer fra. Slike angrep kalles gjerne volumetriske, da formålet er å lage nok volum på trafikken til å fylle opp Internett-forbindelsen til offeret.

Det har nå blitt oppdaget en ny tjeneste som kan utnyttes til å gjennomføre denne typen angrep. Tjenesten kalles SLP (Service Location Protocol) og ble laget av Sun Microsystems i 1997. Tjenesten ble brukt for å registrere tilgjengelige lokale ressurser på det interne nettverket, men er ikke lenger mye i bruk. Tjenesten var aldri ment å være tilgjengelig utenfor lokalnettet.

35.000 servere eksponerer dessverre tjenesten ut på nettet og kan potensielt sett misbrukes i angrep. Ved å manipulere listen over tilgjengelige enheter før angrepet startes, kan det forsterkes hele 2200 ganger.

Vi anbefaler alle å sjekke om de eksponerer tjenesten ut på nettet via UDP port 427 for å unngå å bli utnyttet i angrep!
Referanser
https://www.bitsight.com/blog/new-high-severi[...]
https://www.netscout.com/blog/asert/slp-refle[...]

Posted by tsoc at 11:33

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

Subscribe to: Post Comments (Atom)
 
>