NTP Amplification Attacks Using CVE-2013-5211

Systémy Postižená
NTP servery
Přehled
Network Time Protocol (NTP) Zesílení útok je vznikající forma Distributed Denial of Service (DDoS), který se opírá o využívání veřejně přístupných NTP serverů se přemoci systém oběť s UDP.
Popis
Služba NTP podporuje monitorovací službu, která umožňuje správcům dotaz na server pro dopravní počty připojených klientů. Tyto informace jsou poskytovány prostřednictvím příkazu "monlist". Základní útok technika se skládá z útočníka odeslání "dostat monlist" žádost o zranitelné NTP serveru, se zdrojovou adresou falešnou být adresa oběti.
Náraz
Útok se opírá o využívání "monlist" funkci NTP, jak je popsáno v CVE-2013-5211, která je ve výchozím nastavení povolena na starších NTP-schopné zařízení. Tento příkaz způsobí, seznam posledních 600 IP adres, které připojených k NTP serveru, který bude odeslán na oběti. Vzhledem k tomu, falešnou zdrojovou adresu, když server NTP odešle odpověď je odeslána namísto oběti. Vzhledem k tomu, velikost odezvy je obvykle podstatně větší než žádost, útočník je schopen zesilovat objem dopravy zaměřené na oběti. Kromě toho, protože reakce jsou legitimní data přicházející z platných serverů, je obzvláště obtížné blokovat tyto typy útoků. Řešením je vypnout "monlist" v rámci NTP serveru nebo upgradovat na nejnovější verzi NTP (4.2.7), který zakáže "monlist" funkci.
Řešení
Zjištění
Na UNIX platformě, příkaz "ntpdc" bude dotaz stávající NTP servery pro monitorování dat. Pokud je systém zranitelný vůči vykořisťování, bude reagovat na povel "monlist" v interaktivním režimu. Ve výchozím nastavení je většina moderních UNIX a Linux distribuce, aby tento příkaz použít z localhostu, ale nikoli ze vzdáleného hostitele. Chcete-li otestovat na monlist podporu, spusťte následující příkaz na příkazovém řádku:
/ Usr / sbin / ntpdc <Přepínač server>
monlist
Kromě toho, "ntp-monlist" Skript je k dispozici pro nmap, který se automaticky zobrazí výsledky příkazu monlist. Pokud systém nepodporuje dotaz na monitoru, a je proto zranitelné vůči tomuto typu útoku, bude Nmap vrátí chybovou typ 4 (Žádné údaje nejsou k dispozici), nebo žádnou odpověď vůbec.

Doporučený postup
Jako všechny verze Ntpd před 4.2.7 jsou zranitelné ve výchozím nastavení, nejjednodušší doporučený postup je inovovat všechny verze Ntpd, které jsou veřejně přístupné alespoň 4.2.7. Avšak v případech, kdy to není možné upgradovat na verzi služby, je možné vypnout funkci monitoru v dřívějších verzích softwaru.
Chcete-li zakázat "monlist" funkci na veřejné čelí NTP server, který nelze aktualizovat na 4.2.7, přidat "noquery" směrnice k "omezení výchozí" řádku v ntp.conf systému, jak je uvedeno níže:
omezit výchozí kod nomodify notrap nopeer noquery
omezit -6 výchozí kod nomodify notrap nopeer noquery