Falla crítica en el Protocolo de Tiempo de Red (NTP) detectada por investigadores de Google

Table Of Contents

• Investigadores de Google descubren una falla crítica en el Protocolo de Tiempo de Red (NTP) que está siendo explotada en el mundo real
• Protocolo de Tiempo de Red (NTP)
• Ataques vistos en el mundo real

Investigadores de Google descubren una falla crítica en el Protocolo de Tiempo de Red (NTP) que está siendo explotada en el mundo real

Investigadores de Google han revelado que han identificado fallas en el Protocolo de Tiempo de Red (NTP). Estas fallas podrían permitir que un atacante ataque cualquier sistema de forma remota. La peor noticia es que esta falla está siendo explotada en el mundo real y ya se han producido un par de ataques que explotan estas vulnerabilidades. La vulnerabilidad en el NTP permite a un atacante remoto ejecutar código malicioso y tomar el control del sistema de la víctima.

Protocolo de Tiempo de Red (NTP)

El Protocolo de Tiempo de Red (NTP) es un protocolo de red para la sincronización de relojes entre sistemas informáticos a través de redes de datos conmutadas por paquetes y latencia variable. En operación desde antes de 1985, NTP es uno de los protocolos de Internet más antiguos en uso. NTP fue diseñado originalmente por David L. Mills de la Universidad de Delaware, quien aún supervisa su desarrollo.

NTP está destinado a sincronizar todas las computadoras participantes dentro de unos pocos milisegundos del Tiempo Universal Coordinado (UTC) y está diseñado para mitigar los efectos de la latencia variable de la red. El NTP es mantenido y actualizado por NTP.org.

Cada computadora tiene un reloj interno que necesita ser actualizado de vez en cuando. El reloj lógico de cada máquina individual necesita ser sincronizado con otras máquinas para facilitar la comunicación a través de una red como Internet. Puede que hayas notado que si la hora de tu computadora está incorrecta más allá de un cierto valor umbral, tu máquina no puede conectarse a Internet o devuelve un error, especialmente en páginas que requieren sincronización de tiempo. Este tiempo se mantiene utilizando el protocolo NTP. Por lo tanto, no necesitamos especificar la importancia de este protocolo. Según los expertos, todas las versiones de NTP anteriores a 4.2.8 están afectadas por la falla.

NTP.org emitió un aviso que explica que un solo paquete podría ser suficiente para explotar una vulnerabilidad de desbordamiento de búfer en el NTP. “Un atacante remoto puede enviar un paquete cuidadosamente diseñado que puede desbordar un búfer de pila y potencialmente permitir que se ejecute código malicioso con el nivel de privilegio del proceso ntpd”, dice el aviso.

Ataques vistos en el mundo real

“Los investigadores del equipo de seguridad de Google, Neel Mehta y Stephen Roettger, han coordinado múltiples vulnerabilidades con CERT/CC en relación con el Protocolo de Tiempo de Red (NTP). Dado que NTP se utiliza ampliamente en implementaciones operativas de Sistemas de Control Industrial, NCCIC/ICS-CERT está proporcionando esta información para los propietarios y operadores de activos de Infraestructura Crítica de EE. UU. para su conocimiento y para identificar mitigaciones para los dispositivos afectados”, dice un aviso de ICS-CERT. “Estas vulnerabilidades podrían ser explotadas de forma remota. Los exploits que apuntan a estas vulnerabilidades están disponibles públicamente.”

Estas fallas han demostrado ser muy útiles en ataques remotos, específicamente en un ataque DDoS. En un ataque DDoS, el atacante inunda la(s) máquina(s) objetivo enviando una gran cantidad de paquetes de datos constantemente y en sucesión. Al modificar el tiempo en los paquetes, un atacante puede hacer que el mismo paquete se entregue múltiples veces, amplificando así el ataque muchas veces.

A principios de 2014, investigadores de seguridad de Symantec detectaron una serie de ataques DDoS de reflexión del Protocolo de Tiempo de Red (NTP) durante las vacaciones de Navidad. En el siguiente gráfico se informa la actividad DDoS realizada por casi 15000 direcciones IP involucradas en el ataque de reflexión del Protocolo de Tiempo de Red (NTP) que probablemente pertenecen a una botnet.

US-CERT ha declarado que la explotación de estas vulnerabilidades de NTP puede permitir a un atacante remoto ejecutar código malicioso. US-CERT anima a los usuarios y administradores a revisar la Nota de Vulnerabilidad VU#852879 y actualizar a NTP 4.2.8 si es necesario.