Критическая уязвимость в протоколе сетевого времени (NTP), обнаруженная исследователями Google

Table Of Contents

• Исследователи Google обнаружили критическую уязвимость в протоколе сетевого времени (NTP), которая используется в дикой природе
• Протокол сетевого времени (NTP)
• Атаки, наблюдаемые в реальном мире

Исследователи Google обнаружили критическую уязвимость в протоколе сетевого времени (NTP), которая используется в дикой природе

Исследователи Google сообщили, что они выявили уязвимости в протоколе сетевого времени (NTP). Эти уязвимости могут позволить злоумышленнику атаковать любую систему удаленно. Худшая новость заключается в том, что эта уязвимость используется в дикой природе, и несколько атак, использующих эти уязвимости, уже имели место. Уязвимость в NTP позволяет удаленному злоумышленнику выполнять вредоносный код и контролировать систему жертвы.

Протокол сетевого времени (NTP)

Протокол сетевого времени (NTP) — это сетевой протокол для синхронизации часов между компьютерными системами по пакетным, переменной задержки данным сетям. Работая с 1985 года, NTP является одним из старейших интернет-протоколов, используемых в настоящее время. NTP был первоначально разработан Дэвидом Л. Миллсом из Университета Делавэра, который по-прежнему курирует его разработку.

NTP предназначен для синхронизации всех участвующих компьютеров с точностью до нескольких миллисекунд по всемирному координированному времени (UTC) и разработан для смягчения последствий переменной задержки сети. NTP поддерживается и обновляется NTP.org

Каждый компьютер имеет внутренние часы, которые необходимо обновлять время от времени. Логические часы каждой отдельной машины должны быть синхронизированы с другими машинами, чтобы облегчить связь по сети, такой как интернет. Вы могли заметить, что если время на вашем компьютере неверно за пределами определенного порогового значения, ваша машина не может подключиться к интернету или возвращает ошибку, особенно на страницах, которые требуют синхронизации времени. Это время поддерживается с помощью протокола NTP. Поэтому нам не нужно указывать на важность этого протокола. Согласно экспертам, все версии NTP до 4.2.8 подвержены этой уязвимости.

NTP.org выпустил уведомление, в котором объясняется, что одного пакета может быть достаточно, чтобы использовать уязвимость переполнения буфера в NTP. “Удаленный злоумышленник может отправить тщательно подготовленный пакет, который может переполнить стековый буфер и потенциально позволить выполнить вредоносный код с уровнем привилегий процесса ntpd,” говорится в уведомлении.

Атаки, наблюдаемые в реальном мире

“Исследователи команды безопасности Google Нил Мехта и Стивен Реттгер координировали несколько уязвимостей с CERT/CC, касающихся протокола сетевого времени (NTP). Поскольку NTP широко используется в операционных системах управления промышленностью, NCCIC/ICS-CERT предоставляет эту информацию владельцам и операторам критической инфраструктуры США для повышения осведомленности и выявления мер по смягчению последствий для затронутых устройств,” говорится в уведомлении от ICS-CERT. “Эти уязвимости могут быть использованы удаленно. Эксплойти, нацеленные на эти уязвимости, доступны публично.”

Эти уязвимости оказались очень полезными в удаленных атаках, в частности, в DDoS-атаке. В DDoS-атаке злоумышленник затопляет целевую машину(ы), отправляя огромное количество данных пакетов постоянно и подряд. Изменяя время на пакетах, злоумышленник может заставить один и тот же пакет доставляться несколько раз, тем самым “усиливая” атаку много раз.

Ранее в 2014 году исследователи безопасности компании Symantec заметили серию отраженных DDoS-атак протокола сетевого времени (NTP) во время рождественских праздников. На следующем графике показана активность DDoS, осуществляемая почти 15000 IP-адресов, участвующих в отраженной атаке протокола сетевого времени (NTP), вероятно, принадлежащих ботнету.

US-CERT заявил, что использование этих уязвимостей NTP может позволить удаленному злоумышленнику выполнять вредоносный код. US-CERT призывает пользователей и администраторов ознакомиться с Уведомлением о уязвимости VU#852879 и при необходимости обновиться до NTP 4.2.8.