16. 01. 2014

US-CERT vydal varování před DDoS útoky, při kterých útočník zaplaví systém oběti velkým množstvím UDP provozu využitím veřejně dostupných NTP serverů, používajících síťový synchronizační časový protokol NTP starších verzí. Network Time Protocol (NTP) je protokol pro synchronizaci vnitřních hodin počítačů po paketové síti s proměnným zpožděním, využívající protokol UDP. NTP zajišťuje, aby všechny počítače v síti měly stejný a přesný čas.

Charakteristika zranitelnosti

Služba NTP podporuje funkci monlist, která zasílá serveru žádost o vypsání seznamu posledních 600 počítačů, které se k serveru připojily. Základní technika útoku spočívá v odeslání žádosti "MON_GETLIST" útočníkem na zranitelný NTP server, s podvrženou zdrojovou adresou oběti. Seznam posledních 600 IP adres připojených k NTP serveru je pak odeslán oběti. Vzhledem k tomu, že velikost odpovědi je podstatně větší než velikost žádosti, je pomocí zranitelných serverů útočník schopen zesilovat objem komunikace směřující na oběť.

Dotčené systémy

  • servery používající protokol NTP verze starší než 4.2.7p26

Dopad zranitelnosti

Umožní útočníkovi využít zranitelné servery k provedení DDoS útoků na systémy obětí.

Řešení

Upgradovat NTP na verzi nejméně 4.2.7p26, která pro podobné zprávy vyžaduje autentizaci pomocí nonce, takže tazatel musí prokázat, že je schopen poslouchat na IP adrese, ze které dotaz pokládá.

Pokud není možný upgrade, může se server proti zneužití funkce monlist zabezpečit přidáním následujícího řádku do souboru ntp.conf: disable monitor.

Další možností je pomocí volby noquery zakázat veškeré dotazy na stav NTP serveru, případně zablokovat i všechny dotazy na čas.

CVE

CVE-2013–5211

Odkazy

http://www.us-cert.gov/ncas/alerts/TA14-013A
http://support.ntp.org/bin/view/Support/AccessRestrictions
http://www.ntp.org/downloads.html