Більше 30 000 серверів NTP уразливі, 4300 з них знаходяться в Росії


 
Наприкінці грудня фахівці з безпеки з Google Security Team виявили ряд критичних вразливостей в реалізації протоколу NTP , який використовується в багатьох промислових системах управління для синхронізації часу на серверах.

Уразливості , яким піддаються всі NTP -сервера до версії 4.2.8 , включають кілька варіантів переповнення буфера і дозволяють атакуючому віддалено виконувати довільний код на сервері. Як відзначають дослідники, експлойти для даних вразливостей вже існують в публічному доступі.
За даними Positive Technologies , використання відкритих джерел дозволяє легко виявити більше 30 000 серверів в інтернет , досі схильних даної уразливості . Причому 4300 з них розташовані в російському сегменті мережі Інтернет. На скріншоті нижче можна побачити, як виглядає дана уразливість NTP в одному з аудитів безпеки, який проводили за допомогою системи контролю захищеності та відповідності стандартам MaxPatrol :
 
Рекомендації щодо усунення вразливостей можна знайти в повідомленні ICS – CERT , а також на сайті підтримки NTP . Основна порада – оновити NTP до версії 4.2.8 з офіційного сайту ntp.org . У разі неможливості поновлення пропонується два способи блокувати атаки через налаштування конфігурації:

Заборонити Autokey Authentication шляхом видалення або коментування всіх тих рядків файлу ntp.conf , які починаються з директиви crypto .
Для всіх недовірених клієнтів вказати у файлі /etc/ntp.conf директиву restrict … noquery , що не дозволить недовірених клієнтам запитувати інформацію про статус NTP- сервера. Можна зробити й простіше: відключити службу NTP на серверах і мережевих пристроях або відфільтрувати її на межсетевом екрані, якщо зовнішній доступ до неї не потрібно. Але якщо служба все ж використовується зовнішніми клієнтами , можна обмежити доступ до порту 123 списком довірених IP- адрес.
Positive Technologies прогнозує, що блокування нових вразливостей навряд чи буде відбуватися швидко . Приміром, на початку минулого року по Інтернету прокотилася потужна хвиля DDoS- атак з посиленням через NTP . Під час такої атаки зловмисники відправляють на NTP- сервер спеціальний запит , а в якості відправника підставляють IP- адреса жертви ; NTP- сервер посилає на цю адресу цілком легітимний відповідь, яка може бути в кілька сот разів довше запиту – таким чином, сервер точного часу стає мимовільним підсилювачем атаки. Рекомендації CERT по захисту від таких атак були опубліковані в січні минулого року. Однак навіть через півроку , у червні, налічувалося ще 17 тис. вразливих NTP- сєверов , причому багато з них продовжували брати участь в DDoS- атаках, посилюючи сміттєвий трафік в сотні разів.
Positive Technologies

Оставить комментарий

Ваш email не будет опубликован. Обязательные поля отмечены *

Вы можете использовать это HTMLтеги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>