Уразливості включають кілька варіантів переповнення буфера і дозволяють атакуючому віддалено виконувати довільний код на сервері.
В кінці грудня фахівці з безпеки з Google Security Team виявили ряд критичних вразливостей в реалізації протоколу NTP, який використовується в багатьох промислових системах управління для синхронізації часу на серверах.
уразливості , До яких схильні всі NTP-сервера до версії 4.2.8, включають кілька варіантів переповнення буфера і дозволяють атакуючому віддалено виконувати довільний код на сервері. Як відзначають дослідники, експлойти для даних вразливостей вже існують в публічному доступі.
За даними Positive Technologies, використання відкритих джерел дозволяє легко виявити більше 30 000 серверів в інтернет, до сих пір схильних до даної уразливості. Причому 4300 з них розташовані в російському сегменті мережі Інтернет.
На скріншоті нижче можна побачити, як виглядає ця вразливість NTP в одному з аудитів безпеки, який проводили за допомогою системи контролю захищеності та відповідності стандартам MaxPatrol:
Рекомендації щодо усунення вразливостей можна знайти в повідомленні ICS-CERT , А також на сайті підтримки NTP . Основна порада - оновити NTP до версії 4.2.8 з офіційного сайту ntp.org. У разі неможливості поновлення пропонується два способи блокувати атаки через настройки конфігурації:
- Заборонити Autokey Authentication шляхом видалення або коментування всіх тих рядків файлу ntp.conf, які починаються з директиви crypto.
- Для всіх недовірених клієнтів вказати в файлі /etc/ntp.conf директиву restrict ... noquery, що не дозволить недовірених клієнтам запитувати інформацію про статус NTP-сервера.
Можна зробити й простіше: відключити службу NTP на серверах і мережевих пристроях або відфільтрувати її на межсетевом екрані, якщо зовнішній доступ до неї не потрібно. Але якщо служба все ж використовується зовнішніми клієнтами, можна обмежити доступ до порту 123 списком довірених IP-адрес.
Судячи з досвіду минулих багів NTP, можна прогнозувати, що блокування нових вразливостей навряд чи буде відбуватися швидко. Наприклад, на початку минулого року по Інтернету прокотилася потужна хвиля DDoS-атак з посиленням через NTP. Під час такої атаки зловмисники відправляють на NTP-сервер спеціальний запит, а в якості відправника підставляють IP-адреса жертви; NTP-сервер посилає на цю адресу цілком легітимний відповідь, який може бути в кілька сот разів довше запиту - таким чином, сервер точного часу стає мимовільним підсилювачем атаки. Рекомендації CERT по захисту від таких атак були опубліковані в січні минулого року. Однак навіть через півроку, в червні, налічувалося ще 17 тис. уразливих NTP-сєверов, причому багато хто з них продовжували брати участь в DDoS-атаках, посилюючи сміттєвий трафік в сотні разів.
