Googleの研究者が検出したネットワーク時間プロトコル（NTP）の重大な欠陥

Table Of Contents

• Googleの研究者がネットワーク時間プロトコル（NTP）の重大な欠陥を発見し、実際に悪用されている
• ネットワーク時間プロトコル（NTP）
• 実世界で見られる攻撃

Googleの研究者がネットワーク時間プロトコル（NTP）の重大な欠陥を発見し、実際に悪用されている

Googleの研究者は、ネットワーク時間プロトコル（NTP）に欠陥を特定したことを明らかにしました。これらの欠陥により、攻撃者はリモートで任意のシステムを攻撃することができます。さらに悪いニュースは、この欠陥が実際に悪用されており、これらの脆弱性を悪用した攻撃がすでにいくつか発生していることです。NTPの脆弱性により、リモートの攻撃者が悪意のあるコードを実行し、被害者のシステムを制御することが可能になります。

ネットワーク時間プロトコル（NTP）

ネットワーク時間プロトコル（NTP）は、パケット交換型の可変遅延データネットワークを介してコンピュータシステム間で時計を同期させるためのネットワークプロトコルです。1985年以前から運用されているNTPは、現在使用されている最も古いインターネットプロトコルの1つです。NTPは、デラウェア大学のデビッド・L・ミルズによって最初に設計され、彼は今でもその開発を監督しています。

NTPは、すべての参加コンピュータを協定世界時（UTC）から数ミリ秒以内に同期させることを目的としており、可変ネットワーク遅延の影響を軽減するように設計されています。NTPはNTP.orgによって維持され、更新されています。

すべてのコンピュータには、時々更新する必要がある内部時計があります。各個別のマシンの論理時計は、インターネットのようなネットワーク上での通信を円滑にするために、他のマシンと同期する必要があります。コンピュータの時間が特定の閾値を超えて間違っている場合、マシンはインターネットに接続できなくなったり、特に時間の同期が必要なページでエラーを返すことに気付いたかもしれません。この時間はNTPプロトコルを使用して維持されています。したがって、このプロトコルの重要性を指定する必要はありません。専門家によると、NTPのバージョン4.2.8以前のすべてのバージョンがこの欠陥の影響を受けています。

NTP.orgは、NTPのバッファオーバーフロー脆弱性を悪用するのに十分な単一のパケットがあることを説明するアドバイザリーを発行しました。「リモートの攻撃者は、スタックバッファをオーバーフローさせ、ntpdプロセスの特権レベルで悪意のあるコードを実行できる可能性のある巧妙に作成されたパケットを送信できます」とアドバイザリーは述べています。

実世界で見られる攻撃

「Googleセキュリティチームの研究者であるニール・メータとスティーブン・ロエッターは、ネットワーク時間プロトコル（NTP）に関する複数の脆弱性をCERT/CCと調整しました。NTPは運用中の産業制御システムの展開で広く使用されているため、NCCIC/ICS-CERTは、米国の重要インフラ資産の所有者および運営者に対して、認識を高め、影響を受けるデバイスの緩和策を特定するためにこの情報を提供しています」とICS-CERTのアドバイザリーは述べています。「これらの脆弱性はリモートで悪用される可能性があります。これらの脆弱性を標的としたエクスプロイトは公開されています。」

これらの欠陥は、特にDDoS攻撃においてリモート攻撃に非常に有用であることが示されています。DDoS攻撃では、攻撃者がターゲットのマシンに対して大量のデータパケットを絶え間なく連続して送信することで、ターゲットマシンを洪水のように攻撃します。パケットの時間を変更することで、攻撃者は同じパケットが何度も配信されるようにし、攻撃を何倍にも「増幅」することができます。

2014年初頭、シマンテックのセキュリティ研究者は、クリスマス休暇中に一連のネットワーク時間プロトコル（NTP）反射DDoS攻撃を発見しました。以下のグラフは、ボットネットに属する可能性のあるネットワーク時間プロトコル（NTP）反射攻撃に関与する約15000のIPアドレスによるDDoS活動を報告しています。

US-CERTは、これらのNTP脆弱性の悪用により、リモートの攻撃者が悪意のあるコードを実行できる可能性があると述べています。US-CERTは、ユーザーと管理者に対して、脆弱性ノートVU#852879を確認し、必要に応じてNTP 4.2.8に更新することを推奨しています。