Уязвимости в демоне ntpd позволяют вносить изменения в системное время

image

Теги: NTP, уязвимость, атака

Уязвимыми являются все стабильные релизы ntp с 4.2.5p186 до 4.2.8p3.

Исследователи Cisco Talos Group сообщили о новом типе атак на протокол NTP, с помощью которых злоумышленники могут вызывать серьезные сбои в работе системы, прослушивать зашифрованные коммуникации и обходить процесс аутентификации. Эксперты обнаружили уязвимости во время работы с кодом, основывающимся на демоне ntpd – программе, которая используется для синхронизации с серверами времени по NTP.

Ntpd определяет, с каким демоном взаимодействовать, по конфигурационному файлу ntp.conf, определенному администратором сети. Атака становится возможной из-за логической ошибки в процессе обработки некоторых пакетов crypto-NAK. Как пояснили эксперты, не аутентифицированный атакующий может сделать так, чтобы процессы ntpd взаимодействовали с вредоносными источниками времени, и тем самым внести произвольные изменения в системное время.

Когда уязвимый демон получает по NTP пакеты crypto-NAK в симметричном активном режиме, он начинает взаимодействовать с отправителем в обход процесса аутентификации, которая обычно необходима для этого. Проще говоря, злоумышленник может «заставить» ntpd взаимодействовать с вредоносным источником времени и благодаря этому управлять системными часами.

Уязвимыми являются все стабильные релизы ntp с 4.2.5p186 до 4.2.8p3, а также версии, находящиеся в разработке, с 4.3.0 до 4.3.76. Бреши исправлены в релизе 4.2.8p4.   

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.