19 de abril de 2015

NTP. Vulnerabilidades en el protocolo

Se han anunciado dos vulnerabilidades en el protocolo Network Time Protocol (NTP), que podrían permitir evitar el uso de conexiones autenticadas o provocar condiciones de denegación de servicio.
 NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.
Detalle de las vulnerabilidades
  • El primero de los problemas (con CVE-2015-1798) hace referencia a instalaciones NTP4 (versiones ntp-4.2.5p99 a ntp-4.2.8p1) que hagan uso de autenticación con clave simétrica. En esta configuración se comprueba si en el paquete recibido el Código de Autenticación de Mensaje (MAC, Message Authentication Code) es válido, pero no se comprueba si realmente está incluido. Por ello, paquetes sin un MAC son aceptados como si tuvieran un MAC válido. Esto podría permitir a un atacante MITM enviar paquetes NTP falsos que serán aceptados sin necesidad de saber la clave simétrica.
  • Por otra parte, con CVE-2015-1799, una vulnerabilidad que afecta a instalaciones NTP que utilizan autenticación con clave simétrica, incluyendo versiones xntp3.3wy a ntp-4.2.8p1. Se pueden crear condiciones de denegación de servicio cuando dos sistemas emparejados reciben paquetes en los que las marcas de tiempo de origen y de transmisión no coinciden. Un atacante podrá evitar la sincronización entre dos sistemas mediante el envío periódico de paquetes con estas características.
Recomendación
Más información:
Fuente: Hispasec