Difetto critico nel Protocollo di Tempo di Rete (NTP) rilevato dai ricercatori di Google

Table Of Contents

• I ricercatori di Google scoprono un difetto critico nel Protocollo di Tempo di Rete (NTP) che viene sfruttato nel mondo reale
• Protocollo di Tempo di Rete (NTP)
• Attacchi visti nel mondo reale

I ricercatori di Google scoprono un difetto critico nel Protocollo di Tempo di Rete (NTP) che viene sfruttato nel mondo reale

I ricercatori di Google hanno rivelato di aver identificato difetti nel Protocollo di Tempo di Rete (NTP). Questi difetti potrebbero consentire a un attaccante di attaccare qualsiasi sistema da remoto. La notizia peggiore è che questo difetto viene sfruttato nel mondo reale e un paio di attacchi che sfruttano queste vulnerabilità si sono già verificati. La vulnerabilità nel NTP consente a un attaccante remoto di eseguire codice malevolo e prendere il controllo del sistema della vittima.

Protocollo di Tempo di Rete (NTP)

Il Protocollo di Tempo di Rete (NTP) è un protocollo di rete per la sincronizzazione dell’orologio tra sistemi informatici su reti dati a pacchetto con latenza variabile. In funzione dal 1985, NTP è uno dei protocolli Internet più antichi in uso. NTP è stato originariamente progettato da David L. Mills dell’Università del Delaware, che supervisiona ancora il suo sviluppo.

NTP è destinato a sincronizzare tutti i computer partecipanti entro pochi millisecondi dal Tempo Universale Coordinato (UTC) ed è progettato per mitigare gli effetti della latenza variabile della rete. Il NTP è mantenuto e aggiornato da NTP.org.

Ogni computer ha un orologio interno che deve essere aggiornato di tanto in tanto. L’orologio logico di ogni singola macchina deve essere sincronizzato con altre macchine per facilitare la comunicazione su una rete come Internet. Potresti aver notato che se l’ora del tuo computer è errata oltre un certo valore soglia, la tua macchina non può connettersi a Internet o restituisce un errore, specialmente su pagine che richiedono la sincronizzazione dell’ora. Questo tempo è mantenuto utilizzando il protocollo NTP. Quindi non è necessario specificare l’importanza di questo protocollo. Secondo gli esperti, tutte le versioni di NTP precedenti alla 4.2.8 sono interessate dal difetto.

NTP.org ha emesso un avviso che spiega che un singolo pacchetto potrebbe essere sufficiente per sfruttare una vulnerabilità di overflow del buffer nel NTP. “Un attaccante remoto può inviare un pacchetto attentamente progettato che può sovraccaricare un buffer dello stack e potenzialmente consentire l’esecuzione di codice malevolo con il livello di privilegio del processo ntpd,” afferma l’avviso.

Attacchi visti nel mondo reale

“Ricercatori del Google Security Team, Neel Mehta e Stephen Roettger, hanno coordinato più vulnerabilità con CERT/CC riguardanti il Protocollo di Tempo di Rete (NTP). Poiché NTP è ampiamente utilizzato all’interno delle implementazioni dei Sistemi di Controllo Industriale operativi, NCCIC/ICS-CERT sta fornendo queste informazioni per i proprietari e gli operatori di asset critici delle infrastrutture statunitensi per consapevolezza e per identificare le mitigazioni per i dispositivi interessati,” afferma un avviso di ICS-CERT. “Queste vulnerabilità potrebbero essere sfruttate da remoto. Gli exploit che prendono di mira queste vulnerabilità sono disponibili pubblicamente.”

Questi difetti si sono dimostrati molto utili negli attacchi remoti, specificamente in un attacco DDoS. In un attacco DDoS, l’attaccante inonda la macchina/i bersaglio inviando un numero enorme di pacchetti di dati costantemente e in successione. Modificando il tempo sui pacchetti, un attaccante può causare la consegna dello stesso pacchetto più volte, “amplificando” così l’attacco molte volte.

All’inizio del 2014, i ricercatori di sicurezza di Symantec hanno individuato una serie di attacchi DDoS di riflessione del Protocollo di Tempo di Rete (NTP) durante le festività natalizie. Nel grafico seguente è riportata l’attività DDoS condotta da quasi 15000 indirizzi IP coinvolti nell’attacco di riflessione del Protocollo di Tempo di Rete (NTP) probabilmente appartenenti a un botnet.

US-CERT ha dichiarato che lo sfruttamento di queste vulnerabilità NTP potrebbe consentire a un attaccante remoto di eseguire codice malevolo. US-CERT incoraggia gli utenti e gli amministratori a rivedere il Nota di Vulnerabilità VU#852879 e ad aggiornare a NTP 4.2.8 se necessario.