Se han anunciado 11 vulnerabilidades
en el protocolo Network Time Protocol (NTP), que podrían permitir modificar el
reloj de los sistemas atacados o provocar condiciones de denegación de
servicio.
NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.
Detalle e Impacto de
las vulnerabilidades
- La lista de
problemas es amplia, calificados por ntp.org como de gravedad baja a
media. Entre las vulnerabilidades más destacables podemos reseñar un fallo
(con CVE-2016-1551) en el filtrado de paquetes del rango de red
192.0.0.0/8 podría permitir a un atacante que envíe paquetes falsificados
modificar el reloj del sistema atacado.
- A priori, no
parece importante que se pueda modificar el reloj de un sistema. Sin
embargo, tiene consecuencias indirectas sobre otras funcionalidades. Por
ejemplo, cambiar la fecha a un año atrás haría al sistema aceptar
certificados ya revocados con la clave privada comprometida, lo que
permitiría realizar un ataque de suplantación de identidad. Además de
afectar a servicios de autenticación como Kerberos y Active Directory, que
dependen de un reloj en hora para su correcto funcionamiento.
- Otro problema
interesante, con CVE-2016-1550, resulta de la diferencia de tiempo al
enviar un paquete de error cuando no se corresponde el resumen contenido
en un paquete con el valor calculado por el cliente utilizando la clave
secreta. Esto es, en comparación, desajustes en los primeros bytes generan
paquetes crypto-NAK antes que los desajustes en los últimos bytes. Los
atacantes pueden descubrir el valor de la clave compartida por un ataque
de fuerza bruta al resumen MD5 y el examen del tiempo de los paquetes de
crypto-NAK devueltos. Una vez conocida la clave el atacante podrá enviar
paquetes NTP que serán autenticados como válidos.
- Más problemas residen
en que ntpd es vulnerable ante ataques Sybil (CVE-2016-1549), que pueden
permitir la creación de múltiples
asociaciones peer-to-peer, y facilitar la falsificación del reloj del
sistema. También (con CVE-2016-1548) la posibilidad de forzar a un cliente
ntpd para cambiar del modo cliente-servidor básico a simétrico. Esto
podría permitir al atacante cambiar el reloj o provocar denegaciones de
servicio.
Recomendación
- Se recomienda actualizar a la versión 4.2.8p7
disponible desde, http://www.ntp.org/downloads.html
Más información:
- April 2016 NTP-4.2.8p7 Security Vulnerability
Announcement (Medium) http://support.ntp.org/bin/view/Main/SecurityNotice#April_2016_NTP_4_2_8p7_Security
- Vulnerability Spotlight: Further NTPD
Vulnerabilities http://blog.talosintel.com/2016/04/vulnerability-spotlight-further-ntpd_27.html#more