Ostrzeżenie przed dziurawym NTP

Specjaliści do spraw bezpieczeństwa ostrzegają: dziury istniejące zabezpieczeniach Remote Code Execution (zdalne wykonywanie kodu), znajdujących się w standardowej implementacji protokołu NTP (Network Time Protocol; protokół używany do synchronizacji czasu), mogą być wykorzystane przez hakerów do przejmowania kontroli nad systemami komputerowymi pracującymi pod kontrolą systemu operacyjnego Unix.

Dziury (które można wykorzystać wysyłając specjalnie spreparowany pakiet do maszyny, na której uruchomiono podatną na taki atak wersję demona NTP; ntpd) stanowią szczególnie zagrożenie dla systemów, które świadczą usługi synchronizacji czasu użytkownikom logującym się jako root.

Jednak nawet wtedy, gdy użytkownik ntpd ma mniejsze uprawnienia, haker może również przeprowadzić atak w taki sposób, że uzyska w pewnym momencie uprawnienia przysługujące wyłącznie użytkownikowi root.

Zobacz również:

Network Time Foundation (organizacja sprawująca pieczę nad projektem NTP) udostępniła wersję 4.2.8 standardowej implementacji protokołu NTP, która likwiduje wspomniane powyżej dziury. Niektóre firmy oferujące różne dystrybucje systemu Linux (w tym Red Hat) udostępniły już uaktualnienia wykorzystujące wersję 4.2.6 implementacji protokoły NTP. Inne firmy (chodzi tu np. o dystrybucję Ubuntu) nie zrobiły tego jeszcze.

Dotyczy to też szeregu producentów oferujących równego rodzaju sieciowe produkty, którymi zarządza oprogramowanie Unix. Te urządzenia są niestety dalej podatne na tego rodzaju ataki.

W opublikowanym przez Network Time Foundation biuletynie bezpieczeństwa można przeczytać, że update 4.2.8 likwiduje cztery dziury wykorzystujące przepełnienia bufora na dane (buffer overflow vulnerabilities), umieszczone w bazie danych Common Vulnerabilities and Exposures pod jednym numerem CVE-2014-9295. Update likwiduje też trzy inne dziury, zidentyfikowane w protokole odpowiedzialnym za szyfrowanie danych oraz w module zarządzającym błędami.

Industrial Control Systems Cyber Emergency Response Team (ICS-CERT; amerykańska agencja rządowa wydała kilka dni temu ostrzeżenie, że w Sieci dostępny już jest eksploit wykorzystujący wspomniane dziury, co powinno stanowić poważne ostrzeżenie dla administratorów systemów IT odpowiedzialnych za ich bezpieczeństwo.

Warto pamiętać, że usługa Ntpd nie musi być konieczne świadczona tylko tym użytkownikom, którzy są właścicielami konta root. Większość implementacji uniksowwych i linuksowych świadczy tę usługę użytkownikom posiadającym mniejsze uprawnienia.

Można też próbować blokować połączenia przychodzące do serwerów ntp, jeśli nie muszą być one koniecznie ogólnodostępne. Należy jednak wtedy pamiętać o tym, że proste zapory nie identyfikują często poprawnie połączeń UDP i zapewniają dostęp do wewnętrznych serwerów NTP zewnętrznym numerom IP, jeśli serwer NTP ustanawiał i akceptował wcześniej wychodzące połączenia.


TOP 200