Skoči na vsebino

SI-CERT 2014-01 / Napadi z odbojem preko NTP strežnikov

CVE oznaka: CVE-2013-5211

Povzetek

NTP strežniki, ki odgovarjajo na zahteve vrste ‘monlist‘ lahko sodelujejo v porazdeljenih napadih onemogočanja (angl. distributed denial-of-service, DDoS). Skrbnikom priporočamo nadgradnjo na različico 4.2.7, ali uporabo ‘noquery‘ določila v konfiguraciji.

Opis

V napadu z odbojem (imenovanem tudi napad z ojačanjem) storilec pošlje vprašanje s potvorjenim izvornim naslovom večjemu številu strežnikov. Ti odgovorijo na podtaknjeni naslov in tako žrtev zasujejo z odgovori. Napad je učinkovit, če so odgovori zadosti večji od vprašanja (pride do zadostnega “ojačanja”) in če v napadu sodeluje zadostno število strežnikov. V napadih se izrabljajo legitimne storitve, ki uporabljajo protokol UDP. Najbolj pogosto se izrablja storitev DNS (oglejte si opis teh napadov v prispevku “Vrnitev odpisanih“).

NTP protokol je namenjen sinhronizaciji računalniških ur preko interneta. Uporablja UDP protokol in komunikacijska vrata 123. NTP strežniki lahko podpirajo tudi poizvedbo ‘monlist‘, ki vrne poročilo o IP naslovih zadnjih poizvedb (do 600 zapisov). To pomeni zadostno ojačitev, da se lahko izrablja za napade onemogočanja. Ti so se pričeli decembra 2013.

Rešitev

Če upravljate z NTP strežnikom, preverite, ali se lahko izrablja v napadih z ukazom:

ntpdc -n -c monlist strežnik

Strežnik nadgradite na različico 4.2.7. Če nadgradnja ni mogoča, v konfiguracijo dodajte določilo ‘noquery‘, ki onemogoči ntpdc in ntpq poizvedbe, pri čemer sama storitev ni motena. Primer konfiguracije ntpd na Linux/Unix sistemih:

# omejitve za vse poizvedbe
restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap
# dovolimo poizvedbe lokalno
restrict 127.0.0.1
restrict ::1
# strežniki, s katerimi se sinhroniziramo
server ntp1.arnes.si
server 193.2.4.6

Za več informacij glede namestitev na drugih operacijskih sistemih si oglejte Team Cymru Secure NTP Template dokument.

Preberite tudi

SI-CERT 2021-04 Kritična ranljivost Microsoft Windows Print Spooler servisa

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivost, je že javno objavljena.
Več

SI-CERT 2021-03 Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več

SI-CERT 2021-02 / Kritične ranljivosti Exim poštnega strežnika

V sistemu za posredovanje e-sporočil (MTA) Exim je bilo odkritih več varnostnih pomanjkljivosti, med njimi so tudi take, ki omogočajo izvajanje ukazov na daljavo s povišanimi (root) pravicami (remote command execution – RCE). Ranljivosti so prisotne v vseh različicah Exim MTA izdanih do trenutno zadnje verzije 4.94.2. Vsem uporabnikom svetujemo takojšnjo posodobitev na zadnjo dostopno različico.
Več