Kritische Schwachstelle im Network Time Protocol (NTP) von Google-Forschern entdeckt

Table Of Contents

• Google-Forscher entdecken eine kritische Schwachstelle im Network Time Protocol (NTP), die in der Wildnis ausgenutzt wird
• Network Time Protocol (NTP)
• Angriffe in der realen Welt

Google-Forscher entdecken eine kritische Schwachstelle im Network Time Protocol (NTP), die in der Wildnis ausgenutzt wird

Google-Forscher haben enthüllt, dass sie Schwachstellen im Network Time Protocol (NTP) identifiziert haben. Diese Schwachstellen könnten es einem Angreifer ermöglichen, jedes System aus der Ferne anzugreifen. Schlimmer ist, dass diese Schwachstelle in der Wildnis ausgenutzt wird und bereits einige Angriffe, die diese Verwundbarkeiten ausnutzen, stattgefunden haben. Die Verwundbarkeit im NTP ermöglicht es einem entfernten Angreifer, schädlichen Code auszuführen und die Kontrolle über das System des Opfers zu übernehmen.

Network Time Protocol (NTP)

Das Network Time Protocol (NTP) ist ein Netzwerkprotokoll zur Zeitsynchronisation zwischen Computersystemen über paketvermittelte, variabel latente Datennetze. Seit vor 1985 in Betrieb, ist NTP eines der ältesten Internetprotokolle, die verwendet werden. NTP wurde ursprünglich von David L. Mills von der University of Delaware entworfen, der immer noch die Entwicklung überwacht.

NTP soll alle teilnehmenden Computer innerhalb weniger Millisekunden der koordinierten Weltzeit (UTC) synchronisieren und ist darauf ausgelegt, die Auswirkungen variabler Netzwerklatenz zu mildern. Das NTP wird von NTP.org gepflegt und aktualisiert.

Jeder Computer hat eine interne Uhr, die von Zeit zu Zeit aktualisiert werden muss. Die logische Uhr jeder einzelnen Maschine muss mit anderen Maschinen synchronisiert werden, um die Kommunikation über ein Netzwerk wie das Internet zu erleichtern. Sie haben vielleicht bemerkt, dass Ihr Computer keine Verbindung zum Internet herstellen oder einen Fehler zurückgeben kann, insbesondere auf Seiten, die eine Zeitsynchronisation erfordern, wenn Ihre Computerzeit über einen bestimmten Schwellenwert hinaus falsch ist. Diese Zeit wird durch das NTP-Protokoll aufrechterhalten. Daher müssen wir die Bedeutung dieses Protokolls nicht näher erläutern. Laut den Experten sind alle Versionen von NTP vor 4.2.8 von der Schwachstelle betroffen.

NTP.org gab eine Mitteilung heraus, die erklärt, dass ein einzelnes Paket ausreichen könnte, um eine Pufferüberlauf-Schwachstelle im NTP auszunutzen. „Ein entfernter Angreifer kann ein sorgfältig gestaltetes Paket senden, das einen Stapelpuffer überlaufen lassen und potenziell die Ausführung von schädlichem Code mit dem Berechtigungsniveau des ntpd-Prozesses ermöglichen kann“, heißt es in der Mitteilung.

Angriffe in der realen Welt

„Die Forscher des Google Security Teams, Neel Mehta und Stephen Roettger, haben mehrere Schwachstellen in Bezug auf das Network Time Protocol (NTP) mit CERT/CC koordiniert. Da NTP in operativen Implementierungen von Industrie-Steuerungssystemen weit verbreitet ist, stellt NCCIC/ICS-CERT diese Informationen für Eigentümer und Betreiber kritischer Infrastrukturanlagen in den USA zur Verfügung, um das Bewusstsein zu schärfen und Maßnahmen für betroffene Geräte zu identifizieren“, heißt es in einer Mitteilung von ICS-CERT. „Diese Schwachstellen könnten aus der Ferne ausgenutzt werden. Exploits, die diese Schwachstellen anvisieren, sind öffentlich verfügbar.“

Diese Schwachstellen haben sich als sehr nützlich bei Fernangriffen erwiesen, insbesondere bei einem DDoS-Angriff. Bei einem DDoS-Angriff überflutet der Angreifer die Zielmaschine(n), indem er eine riesige Anzahl von Datenpaketen ständig und nacheinander sendet. Durch die Modifizierung der Zeit auf den Paketen kann ein Angreifer bewirken, dass dasselbe Paket mehrfach zugestellt wird, wodurch der Angriff viele Male „verstärkt“ wird.

Früher im Jahr 2014 entdeckten Sicherheitsforscher bei Symantec eine Reihe von DDoS-Angriffen mit NTP-Reflexion während der Weihnachtsferien. Im folgenden Diagramm wird die DDoS-Aktivität dargestellt, die von fast 15000 IP-Adressen durchgeführt wurde, die wahrscheinlich zu einem Botnet gehören und am NTP-Reflexionsangriff beteiligt waren.

US-CERT hat erklärt, dass die Ausnutzung dieser NTP-Schwachstellen es einem entfernten Angreifer ermöglichen kann, schädlichen Code auszuführen. US-CERT ermutigt Benutzer und Administratoren, den Schwachstellenhinweis VU#852879 zu überprüfen und gegebenenfalls auf NTP 4.2.8 zu aktualisieren.