Falha Crítica no Protocolo de Tempo de Rede (NTP) detectada por Pesquisadores do Google

Table Of Contents

• Pesquisadores do Google descobrem uma falha crítica no Protocolo de Tempo de Rede (NTP) que está sendo explorada na prática
• Protocolo de Tempo de Rede (NTP)
• Ataques vistos no mundo real

Pesquisadores do Google descobrem uma falha crítica no Protocolo de Tempo de Rede (NTP) que está sendo explorada na prática

Pesquisadores do Google revelaram que identificaram falhas no Protocolo de Tempo de Rede (NTP). Essas falhas poderiam permitir que um atacante atacasse qualquer sistema remotamente. A pior notícia é que essa falha está sendo explorada na prática e alguns ataques explorando essas vulnerabilidades já ocorreram. A vulnerabilidade no NTP permite que um atacante remoto execute código malicioso e assuma o controle do sistema da vítima.

Protocolo de Tempo de Rede (NTP)

O Protocolo de Tempo de Rede (NTP) é um protocolo de rede para sincronização de relógios entre sistemas de computador em redes de dados comutadas por pacotes e latência variável. Em operação desde antes de 1985, o NTP é um dos protocolos de Internet mais antigos em uso. O NTP foi originalmente projetado por David L. Mills da Universidade de Delaware, que ainda supervisiona seu desenvolvimento.

O NTP tem como objetivo sincronizar todos os computadores participantes dentro de alguns milissegundos do Tempo Universal Coordenado (UTC) e é projetado para mitigar os efeitos da latência variável da rede. O NTP é mantido e atualizado pelo NTP.org

Cada computador tem um relógio interno que precisa ser atualizado de tempos em tempos. O relógio lógico de cada máquina individual precisa ser sincronizado com outras máquinas para facilitar a comunicação em uma rede como a internet. Você pode ter notado que, se o horário do seu computador estiver errado além de um certo valor limite, sua máquina não consegue se conectar à internet ou retorna um erro, especialmente em páginas que requerem sincronização de tempo. Esse tempo é mantido usando o protocolo NTP. Portanto, não precisamos especificar a importância desse protocolo. De acordo com os especialistas, todas as versões do NTP anteriores à 4.2.8 são afetadas pela falha.

O NTP.org emitiu um aviso que explica que um único pacote pode ser suficiente para explorar uma vulnerabilidade de estouro de buffer no NTP. “Um atacante remoto pode enviar um pacote cuidadosamente elaborado que pode transbordar um buffer de pilha e potencialmente permitir que código malicioso seja executado com o nível de privilégio do processo ntpd”, diz o aviso.

Ataques vistos no mundo real

“O time de segurança do Google, pesquisadores Neel Mehta e Stephen Roettger, coordenaram múltiplas vulnerabilidades com o CERT/CC em relação ao Protocolo de Tempo de Rede (NTP). Como o NTP é amplamente utilizado em implantações operacionais de Sistemas de Controle Industrial, o NCCIC/ICS-CERT está fornecendo essas informações para proprietários e operadores de ativos de Infraestrutura Crítica dos EUA para conscientização e para identificar mitigação para dispositivos afetados”, diz um aviso do ICS-CERT. “Essas vulnerabilidades podem ser exploradas remotamente. Exploits que visam essas vulnerabilidades estão disponíveis publicamente.”

Essas falhas mostraram ser muito úteis em ataques remotos, especificamente em um ataque DDoS. Em um ataque DDoS, o atacante inunda a(s) máquina(s) alvo enviando um enorme número de pacotes de dados constantemente e em sucessão. Ao modificar o tempo nos pacotes, um atacante pode fazer com que o mesmo pacote seja entregue várias vezes, “amplificando” assim o ataque muitas vezes.

No início de 2014, pesquisadores de segurança da Symantec detectaram uma série de ataques DDoS de reflexão do Protocolo de Tempo de Rede (NTP) durante as festas de Natal. No gráfico a seguir, é relatada a atividade DDoS realizada por quase 15000 endereços IP envolvidos no ataque de reflexão do Protocolo de Tempo de Rede (NTP), provavelmente pertencentes a uma botnet.

O US-CERT declarou que a exploração dessas vulnerabilidades do NTP pode permitir que um atacante remoto execute código malicioso. O US-CERT incentiva usuários e administradores a revisar a Nota de Vulnerabilidade VU#852879 e atualizar para o NTP 4.2.8, se necessário.