CAIS-Alerta: ataques de negação de serviço envolvendo o abuso de servidores NTP -Atualização 1 [RNP,30.05.2014-, revisão 01] O CAIS publicou, no dia 22 de janeiro de 2014, um alerta sobre a vulnerabilidade envolvendo consultas do tipo "monlist" em servidores NTP, porém há registro de exploração de uma nova vulnerabilidade envolvendo servidores NTP. Diante disso, o CAIS lança uma atualização do alerta "Ataques de negação de serviço envolvendo o abuso de servidores NTP". O novo problema está relacionado a uma configuração incorreta do servidorNTP que permite a execução remota do comando "READVAR" (comando que exibe dados como: versão do NTP, versão do sistema operacional entre outros). Embora, o problema não seja tão grave quanto a consulta Modo 7 para MONLIST, as consultas para READVAR podem fornecer amplificação em torno de 30 vezes. Impacto Um usuário malicioso poderia forjar um endereço IP de origem e executar remotamente esse comando em algum servidor NTP vulnerável. O servidor NTP vulnerável, por sua vez, iria responder essa consulta com um pacote, aproximadamente, 30 vezes maior que o pacote inicial. Assim, o servidor que teve seu IP forjado seria inundado de informações não solicitadas, sofrendo um ataque reflexivo distribuído de negação de serviço. Recomendações O CAIS recomenda que, ao menos, uma das soluções abaixo sejam executadas para proteger seu servidor NTP contra ataques de negação de serviço, envolvendo consultas do tipo "READVAR" e do tipo "monlist":Atualizar o servidor NTP para a versão "NTP version 4.2.7". Seguir o template de configuração segura disponibilizado pelo Team-Cymru do serviço NTP.O template apresenta soluções para os seguintes sistemas: Cisco IOS, Juniper Junos e UNIX ntpd. Seguir as recomendações de Hardening para Roteadores Cisco. Seguir as recomendações da empresa RAPID 7. Ferramentas para consultas A equipe do CAIS identificou algumas ferramentas, para que os administradores de sistemas consultem o status de seus servidores NTP. Através dessas, é possível identificar um servidorNTP vulnerável.# Específico para vulnerabilidade "monlist" Site oficial do OpenNTP Project que identifica servidores NTP vulneráveis (a atualização dos dados é feita semanalmente). Executar um dos comandos abaixopara identificar se seu servidor NTP está vulnerável. Caso o comando retorne uma lista de endereços IPs após a execução, seu servidor está vulnerável. # ntpdc -n -c monlist "endereço IP do servidor NTP # ntpq -c rv "endereço IP do servidor NTP" Executar a ferramenta Nmap, conforme instruções abaixo: nmap -sU -p U:123 -n -Pn --script ntp-monlist "Endereço IP" # Específico para vulnerabilidade "READVAR” Para verificar se seu servidor está vulnerável, execute as rotinas abaixo: Instalar o NTPQ em uma máquina fora da sua rede Executar o aplicativo # ntpq Informar o host que deseja verificar # host "endereço IP" Executar a consulta READVAR # readvar Se a consulta não retornar "timeout", seu servidor está vulnerável. Deste modo, siga as recomendações acima para configurá-lo de forma segura. Mais informações CAIS-Alerta: ataques de negação de serviço envolvendo o abuso de servidores NTP Ameaças de NTP impulsionam DDoS Understanding and mitigating NTP-based DDoS attacks NTP Amplification DDoS Attacks Hackers Spend Christmas Break Launching Large Scale NTP-Reflection Attacks Página do ShadowServer sobre vulnerabilidade "READVAR" O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @caisrnp. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################