구글 연구원들이 발견한 네트워크 시간 프로토콜(NTP)의 치명적인 결함

목차

• 구글 연구원들이 실제로 악용되고 있는 네트워크 시간 프로토콜(NTP)의 치명적인 결함을 발견하다
• 네트워크 시간 프로토콜(NTP)
• 실제 세계에서의 공격

구글 연구원들이 실제로 악용되고 있는 네트워크 시간 프로토콜(NTP)의 치명적인 결함을 발견하다

구글 연구원들은 네트워크 시간 프로토콜(NTP)에서 결함을 발견했다고 발표했습니다. 이 결함은 공격자가 원격으로 어떤 시스템이든 공격할 수 있게 할 수 있습니다. 더 나쁜 소식은 이 결함이 실제로 악용되고 있으며, 이러한 취약점을 악용한 몇 가지 공격이 이미 발생했다는 것입니다. NTP의 취약점은 원격 공격자가 악성 코드를 실행하고 피해자의 시스템을 제어할 수 있게 합니다.

네트워크 시간 프로토콜(NTP)

네트워크 시간 프로토콜(NTP)은 패킷 교환, 가변 대기 시간 데이터 네트워크를 통해 컴퓨터 시스템 간의 시계 동기화를 위한 네트워킹 프로토콜입니다. 1985년 이전부터 운영되고 있는 NTP는 사용 중인 가장 오래된 인터넷 프로토콜 중 하나입니다. NTP는 델라웨어 대학교의 David L. Mills에 의해 처음 설계되었으며, 그는 여전히 그 개발을 감독하고 있습니다.

NTP는 모든 참여 컴퓨터를 협정 세계시(UTC)와 몇 밀리초 이내로 동기화하도록 설계되었으며, 가변 네트워크 대기 시간의 영향을 완화하도록 설계되었습니다. NTP는 NTP.org에 의해 유지 관리되고 업데이트됩니다.

모든 컴퓨터는 주기적으로 업데이트해야 하는 내부 시계를 가지고 있습니다. 각 개별 기계의 논리 시계는 인터넷과 같은 네트워크를 통해 통신을 원활하게 하기 위해 다른 기계와 동기화되어야 합니다. 특정 임계값을 초과하여 컴퓨터 시간이 잘못되면, 기계가 인터넷에 연결할 수 없거나 시간 동기화가 필요한 페이지에서 오류를 반환하는 것을 보셨을 것입니다. 이 시간은 NTP 프로토콜을 사용하여 유지됩니다. 따라서 이 프로토콜의 중요성을 강조할 필요는 없습니다. 전문가들에 따르면, NTP 4.2.8 이전의 모든 버전이 이 결함의 영향을 받습니다.

NTP.org는 NTP에서 버퍼 오버플로우 취약점을 악용하는 데 단일 패킷이 충분할 수 있음을 설명하는 권고를 발표했습니다. “원격 공격자는 스택 버퍼를 오버플로우할 수 있는 정교하게 제작된 패킷을 보낼 수 있으며, 이는 ntpd 프로세스의 권한 수준으로 악성 코드가 실행될 수 있도록 할 수 있습니다.”라고 권고문은 말합니다.

실제 세계에서의 공격

“구글 보안 팀의 연구원 Neel Mehta와 Stephen Roettger는 네트워크 시간 프로토콜(NTP)과 관련하여 CERT/CC와 여러 취약점을 조정했습니다. NTP는 운영 산업 제어 시스템 배치 내에서 널리 사용되므로, NCCIC/ICS-CERT는 이 정보를 미국의 중요 인프라 자산 소유자 및 운영자를 위해 인식하고 영향을 받는 장치에 대한 완화 조치를 식별하기 위해 제공합니다.”라고 ICS-CERT의 권고문은 말합니다. “이 취약점은 원격으로 악용될 수 있습니다. 이러한 취약점을 겨냥한 악용 방법은 공개적으로 이용 가능합니다.”

이러한 결함은 원격 공격, 특히 DDoS 공격에 매우 유용한 것으로 나타났습니다. DDoS 공격에서 공격자는 목표 기계에 대해 엄청난 수의 데이터 패킷을 지속적으로 보내어 홍수처럼 공격합니다. 패킷의 시간을 수정함으로써, 공격자는 동일한 패킷이 여러 번 전달되도록 하여 공격을 여러 배로 “증폭”할 수 있습니다.

2014년 초, Symantec의 보안 연구원들은 크리스마스 휴일 동안 일련의 네트워크 시간 프로토콜(NTP) 반사 DDoS 공격을 발견했습니다. 다음 그래프는 봇넷에 속할 가능성이 있는 네트워크 시간 프로토콜(NTP) 반사 공격에 연루된 거의 15000개의 IP 주소에 의해 실행된 DDoS 활동을 보고합니다.

US-CERT는 이러한 NTP 취약점의 악용이 원격 공격자가 악성 코드를 실행할 수 있게 할 수 있다고 밝혔습니다. US-CERT는 사용자와 관리자가 취약성 노트 VU#852879를 검토하고 필요할 경우 NTP 4.2.8로 업데이트할 것을 권장합니다.