В конце декабря специалисты по безопасности из Google Security Team обнаружили ряд критических уязвимостей в реализации протокола NTP, который используется во многих промышленных системах управления для синхронизации времени на серверах.

Уязвимости, которым подвержены все NTP-сервера до версии 4.2.8, включают несколько вариантов переполнения буфера и позволяют атакующему удалённо выполнять произвольный код на сервере. Как отмечают исследователи, эксплоиты для данных уязвимостей уже существуют в публичном доступе.

По данным Positive Technologies, использование открытых источников позволяет легко выявить более 30 000 серверов в интернет, до сих пор подверженных данной уязвимости. Причём 4300 из них расположены в российском сегменте сети Интернет.

На скриншоте выше можно увидеть, как выглядит данная уязвимость NTP в одном из аудитов безопасности, который проводили с помощью системы контроля защищенности и соответствия стандартам MaxPatrol.

Рекомендации по устранению уязвимостей можно найти в уведомлении ICS-CERT, а также на сайте поддержки NTP. Основной совет — обновить NTP до версии 4.2.8 с официального сайта ntp.org. В случае невозможности обновления предлагается два способа блокировать атаки через настройки конфигурации.

  1. Запретить Autokey Authentication путем удаления или комментирования всех тех строк файла ntp.conf, которые начинаются с директивы crypto.
  2. Для всех недоверенных клиентов указать в файле /etc/ntp.conf директиву restrict … noquery, что не позволит недоверенным клиентам запрашивать информацию о статусе NTP-сервера.

Можно поступить и проще: отключить службу NTP на серверах и сетевых устройствах или отфильтровать ее на межсетевом экране, если внешний доступ к ней не требуется. Но если служба всё же используется внешними клиентами, можно ограничить доступ к порту 123 списком доверенных IP-адресов.

Судя по опыту прошлых багов NTP, можно прогнозировать, что блокирование новых уязвимостей вряд ли будет происходить быстро, считают специалисты Positive Technologies.

К примеру, в начале прошлого года по интернету прокатилась мощная волна DDoS-атак с усилением через NTP. Во время такой атаки злоумышленники отправляют на NTP-сервер специальный запрос, а в качестве отправителя подставляют IP-адрес жертвы; NTP-сервер посылает на этот адрес вполне легитимный ответ, который может быть в несколько сот раз длиннее запроса — таким образом, сервер точного времени становится невольным усилителем атаки. Рекомендации CERT по защите от таких атак были опубликованы в январе прошлого года. Однако даже спустя полгода, в июне, насчитывалось ещё 17 тыс. уязвимых NTP-северов, причём многие из них продолжали участвовать в DDoS-атаках, усиливая мусорный трафик в сотни раз.

9 комментариев

  1. 23.01.2015 at 17:22

    а можно список данных серверов?:)

  2. 23.01.2015 at 17:45

    А в Хакере когда уже прекратят пиарить MaxPatrol? Его отдают по непомерно дорогой цене, и все это только потому, что их (позитивов) сертифицируют и активно поддердживают? А никто не задумывался, что зачастую стандартны сильно занижены, и лучше по ним не ровняться?

    Позитивы настолько обленились, что вообще не проводят нормально аудит: приходят, запускают свою тулзу, печатают отчет, все. Какой кретин согласился попиарить их и в этой статье, как они вообще сюда, блять, попали, какое отношение к раскрытию новой уязвимости имеет эта меркантильная сертифицированная кучка говна?

    • 23.01.2015 at 22:20

      бешено плюсую) а ещё не подерживаю что их тулзовина работает только под виндой!!! ну где это видано что б для аудита безопасности использовалась винда
      PS
      мимио проходящий специалист по информационной безапасности в крупном холдинге

      • 24.01.2015 at 01:48

        Ничкго хорошего или плохого не хочу сказать. В свое время пользовался XSpider-ом.. А на данный момент проще уж Acunetix. И умеет явно больше.

    • 24.01.2015 at 14:34

      А почему бы не попиарить достаточно мощный инструмент? То, что его «отдают по непомерно дорогой цене» говорит лишь о том, что люди работают и хотят получать за свою работу деньги. Представьте, вы работаете, делаете прорву работы, а ваш продукт, над которым вы работаете отдают за бесплатно и вам зарплату не платят. На сайте positive technologies в разделе Услуги | Тесты на проникновение написано, что они выполняют: Технологический тест на проникновение, Социотехнический тест на проникновение (в общем случае включает: рассылку писем, звонки из «техподдержки», выборочная проверка исполнения политики «чистого стола» (стикеры с
      паролями, незаблокированные в отсутствие пользователя консоли, наличие
      конфиденциальных документов в офисе, доступных посетителям, оставленные
      без присмотра сотовые телефоны и КПК), Комплексный тест на проникновение. Как с уведомлением админов, так и без уведомления. Тестеры могут знать топологию сети, а могут не знать (приходится самим сканировать). Насчет стандартов. Вы можете, конечно, создать свои стандарты, разработать свои технологии, изобрести велосипед, но в плане безопасности скорее всего проиграете т.к. что-то и где-то недоглядите и ваш велосипед окажется ударонепрочным. Судя по клиентам компании (раздел о компании | наши клиенты) фирму знают и ей доверют. В том списке такие компании, которые просто так платить непонятно за что не будут. Вывод: почему бы Хакеру не взять информацию из авторитетного источника?

      • 26.01.2015 at 22:26

        На заборе тоже XY.. написано, и Вы бы этому поверили? Дело не в том, что где-либо написано, а в том, что позитивы только запускают свою (а может и не свою) тулзу и ждут, пока принтер выплюнет А4 с отчетом, все, больше ровным счетом ничего.

        Опять же, если все так гладко, то почему же первый коммент был удален (а я его успел прочитать), а Ваш оставлен?Может, потому что в Вашем содержится чистой воды пиар (ctrl+c), а в том — аргументированная критика? А кол-во клиентов, пффф, грош таким клиентам, все дело в том, что они в свое время были монополистами, а все остальные компании попросту ‘случайным образом’ пропустили новый стандарт и оказались не способны проводить подобный аудит, а тут и тулза у позитивов появляется, все гладко, не правда ли? Или у Вас и на это найдется копипаст?

        Не хочу никого обидеть, но если у компании есть реальная потребность в аудите ИБ/КБ, и она себя уважает, то первое что она не будет делать — ни за что не будет юзать машинный код для своих тестов, она привлечет нормального специалиста по ИБ, который не станет впаривать ей свой ачушенный софт за пару лямов, а сделает все по совести.

        Вернемся к моему основному вопросу: если все так гладко (как Вы говорите), верните первый коммент, где же он? =)

        • 27.01.2015 at 11:26

          Проблема в том, что подтверждения вашим словам нет. Только слова.. Я хотя бы привел косвенные подтверждения своим словам, а не домыслы в отличии от Вас.

  3. 24.01.2015 at 03:04

    как узнаешь такие новости, млин, начинаешь думать о «сетевой полиции»

  4. 24.01.2015 at 04:40

    Когда ты его купишь и настроишь, тогда и будет.

Оставить мнение