Izberite jezik

SI-CERT 2014-01 / Napadi z odbojem preko NTP strežnikov

08.01.2014

CVE oznaka: CVE-2013-5211

Povzetek

NTP strežniki, ki odgovarjajo na zahteve vrste ‘monlist‘ lahko sodelujejo v porazdeljenih napadih onemogočanja (angl. distributed denial-of-service, DDoS). Skrbnikom priporočamo nadgradnjo na različico 4.2.7, ali uporabo ‘noquery‘ določila v konfiguraciji.

Opis

V napadu z odbojem (imenovanem tudi napad z ojačanjem) storilec pošlje vprašanje s potvorjenim izvornim naslovom večjemu številu strežnikov. Ti odgovorijo na podtaknjeni naslov in tako žrtev zasujejo z odgovori. Napad je učinkovit, če so odgovori zadosti večji od vprašanja (pride do zadostnega “ojačanja”) in če v napadu sodeluje zadostno število strežnikov. V napadih se izrabljajo legitimne storitve, ki uporabljajo protokol UDP. Najbolj pogosto se izrablja storitev DNS (oglejte si opis teh napadov v prispevku “Vrnitev odpisanih“).

NTP protokol je namenjen sinhronizaciji računalniških ur preko interneta. Uporablja UDP protokol in komunikacijska vrata 123. NTP strežniki lahko podpirajo tudi poizvedbo ‘monlist‘, ki vrne poročilo o IP naslovih zadnjih poizvedb (do 600 zapisov). To pomeni zadostno ojačitev, da se lahko izrablja za napade onemogočanja. Ti so se pričeli decembra 2013.

Rešitev

Če upravljate z NTP strežnikom, preverite, ali se lahko izrablja v napadih z ukazom:

ntpdc -n -c monlist strežnik

Strežnik nadgradite na različico 4.2.7. Če nadgradnja ni mogoča, v konfiguracijo dodajte določilo ‘noquery‘, ki onemogoči ntpdc in ntpq poizvedbe, pri čemer sama storitev ni motena. Primer konfiguracije ntpd na Linux/Unix sistemih:

# omejitve za vse poizvedbe
restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap
# dovolimo poizvedbe lokalno
restrict 127.0.0.1
restrict ::1
# strežniki, s katerimi se sinhroniziramo
server ntp1.arnes.si
server 193.2.4.6

Za več informacij glede namestitev na drugih operacijskih sistemih si oglejte Team Cymru Secure NTP Template dokument.