Vulnérabilité critique dans le protocole de temps réseau (NTP) détectée par des chercheurs de Google

Table des matières

• Des chercheurs de Google découvrent une vulnérabilité critique dans le protocole de temps réseau (NTP) qui est exploitée dans la nature
• Protocole de temps réseau (NTP)
• Attaques observées dans le monde réel

Des chercheurs de Google découvrent une vulnérabilité critique dans le protocole de temps réseau (NTP) qui est exploitée dans la nature

Des chercheurs de Google ont révélé qu’ils avaient identifié des vulnérabilités dans le protocole de temps réseau (NTP). Ces vulnérabilités pourraient permettre à un attaquant d’attaquer n’importe quel système à distance. Pire encore, cette vulnérabilité est exploitée dans la nature et plusieurs attaques exploitant ces vulnérabilités ont déjà eu lieu. La vulnérabilité dans le NTP permet à un attaquant distant d’exécuter du code malveillant et de prendre le contrôle du système de la victime.

Protocole de temps réseau (NTP)

Le protocole de temps réseau (NTP) est un protocole de mise en réseau pour la synchronisation des horloges entre les systèmes informatiques sur des réseaux de données à commutation de paquets et à latence variable. En opération depuis avant 1985, le NTP est l’un des protocoles Internet les plus anciens en usage. Le NTP a été conçu à l’origine par David L. Mills de l’Université du Delaware, qui supervise toujours son développement.

Le NTP est destiné à synchroniser tous les ordinateurs participants à quelques millisecondes de l’heure universelle coordonnée (UTC) et est conçu pour atténuer les effets de la latence variable du réseau. Le NTP est maintenu et mis à jour par NTP.org.

Chaque ordinateur a une horloge interne qui doit être mise à jour de temps en temps. L’horloge logique de chaque machine individuelle doit être synchronisée avec d’autres machines pour faciliter la communication sur un réseau comme Internet. Vous avez peut-être remarqué que si l’heure de votre ordinateur est incorrecte au-delà d’une certaine valeur seuil, votre machine ne peut pas se connecter à Internet ou renvoie une erreur, en particulier sur les pages qui nécessitent une synchronisation horaire. Ce temps est maintenu en utilisant le protocole NTP. Nous n’avons donc pas besoin de spécifier l’importance de ce protocole. Selon les experts, toutes les versions de NTP antérieures à 4.2.8 sont affectées par la vulnérabilité.

NTP.org a publié un avis qui explique qu’un seul paquet pourrait suffire à exploiter une vulnérabilité de débordement de tampon dans le NTP. « Un attaquant distant peut envoyer un paquet soigneusement conçu qui peut déborder un tampon de pile et potentiellement permettre l’exécution de code malveillant avec le niveau de privilège du processus ntpd », indique l’avis.

Attaques observées dans le monde réel

« Les chercheurs de l’équipe de sécurité de Google, Neel Mehta et Stephen Roettger, ont coordonné plusieurs vulnérabilités avec CERT/CC concernant le protocole de temps réseau (NTP). Comme le NTP est largement utilisé dans les déploiements de systèmes de contrôle industriel opérationnels, le NCCIC/ICS-CERT fournit ces informations aux propriétaires et opérateurs d’actifs d’infrastructure critique aux États-Unis pour sensibiliser et identifier des mesures d’atténuation pour les dispositifs affectés », indique un avis de l’ICS-CERT. « Ces vulnérabilités pourraient être exploitées à distance. Les exploits ciblant ces vulnérabilités sont disponibles publiquement. »

Ces vulnérabilités se sont révélées très utiles dans les attaques à distance, en particulier une attaque DDoS. Dans une attaque DDoS, l’attaquant inonde la ou les machines cibles en envoyant un nombre énorme de paquets de données en continu et successivement. En modifiant l’heure sur les paquets, un attaquant peut provoquer la livraison du même paquet plusieurs fois, « amplifiant » ainsi l’attaque de plusieurs fois.

Plus tôt en 2014, des chercheurs en sécurité de Symantec ont repéré une série d’attaques DDoS par réflexion du protocole de temps réseau (NTP) pendant les vacances de Noël. Dans le graphique suivant, l’activité DDoS est rapportée par près de 15000 adresses IP impliquées dans l’attaque par réflexion du protocole de temps réseau (NTP), probablement appartenant à un botnet.

L’US-CERT a déclaré que l’exploitation de ces vulnérabilités NTP pourrait permettre à un attaquant distant d’exécuter du code malveillant. L’US-CERT encourage les utilisateurs et les administrateurs à consulter la note de vulnérabilité VU#852879 et à mettre à jour vers NTP 4.2.8 si nécessaire.