Nota Vulnerabilità VN-IT A

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Nota Vulnerabilità VN-IT-140113-01.A"

Emma Vacca
10 anni fa
Visualizzazioni

1 Early Warning Nota Vulnerabilità VN-IT A Early Warning Pag. 1/5

2 INFORMAZIONI DEL BOLLETTINO EARLY WARNING DI RIFERIMENTO TITOLO BOLLETTINO VA Denial of Service del demone ntpd Data Pubblicazione 13/01/2014 Data di pubblicazione della presente nota. PI-CERT ID VA-IT A Identificativo del bollettino di riferimento di Early Warning del CERT di Poste Italiane. DESCRIZIONE Il servizio NTP (Network Time Protocol), trasportato su UDP, utilizzato per la sincronizzazione dei sistemi connessi ad Internet può essere sfruttato per condurre attacchi di tipo reflected and amplified DDoS. Questa tipologia di attacchi si possono verificare quando gli attaccanti inviano pacchetti con indirizzo IP sorgente alterato (quello della vittima). Dato che l indirizzo IP sorgente è contraffatto, il sistema server risponde e invia i dati alla vittima ignara (cd. spoofing). Questo aspetto diventa problematico quando l attacco è amplificato sfruttando, ad esempio, la debolezza insita nell implementazione del protocollo NTP ed in particolare di alcune sue specifiche funzionalità, utilizzate per scopi di monitoraggio. In particolare, la problematica si presenta utilizzando il comando monlist in quanto il servizio NTP, a fronte di tale richiesta, restituisce la lista degli ultimi 600 indirizzi IP con cui ha interagito. Accade quindi che, in conseguenza di una richiesta di pochi bytes, si generano risposte amplificate, utilizzate per saturare la vittima. Di seguito si riportano indicazioni per la verifica della presenza della funzionalità oggetto della problematica e le relative misure di contrasto e prevenzione. Early Warning Nota vulnerabilità VN-IT A Pag. 2/5

DESCRIZIONE Il servizio NTP (Network Time Protocol), trasportato su UDP, utilizzato per la sincronizzazione dei sistemi connessi ad Internet può essere sfruttato per condurre attacchi di tipo

xxx.xxx.40 Un altro modo per verificare le funzionalità descritte è l utilizzo del tool nmap: nmap su pu:123 Pn n

3 VERIFICA VULNERABILITA I seguenti comandi consentono di verificare se le funzionalità REQ_MON_GETLIST e REQ_MON_GETLIST_1 sono abilitate sui sistemi: ntpq c rv xxx.xxx.xxx.xxx ntpdc c sysinfo xxx.xxx.xxx.xxx ntpdc c n monlist xxx.xxx.xxx.xxx ad esempio: ntpdc c n monlist xxx.xxx.xxx.40 Un altro modo per verificare le funzionalità descritte è l utilizzo del tool nmap: nmap su pu:123 Pn n script=/usr/share/nmap/scripts/ntp-monlist.nse xxx.xxx.xxx.40 Early Warning Nota vulnerabilità VN-IT A Pag. 3/5

4 SOLUZIONI Effettuare l upgrade dell ntp server alla versione 4.2.7p26 1 o successiva (rif. CVE ), se non è possibile effettuare l aggiornamento procedere con le seguenti azioni di mitigazione. Disabilitare la funzionalità monitor (punto 1) o le interrogazioni per la verifica dello stato del servizio (punto 2) aggiungendo le seguenti direttive al file /etc/ntp.conf 2 (è richiesto il riavvio del solo servizio): 1. disable monitor 2. IPV4: restrict default kod nomodify notrap nopeer noquery IPv6: restrict -6 default kod nomodify notrap nopeer noquery E anche possibile limitare l accesso alle sole reti autorizzate (punto 1) o singoli host autorizzati (punto 2) aggiungendo le seguenti direttive (è richiesto il riavvio del solo servizio): 1. restrict xxx.xxx.xxx.xxx netmask restrict xxx.xxx.xxx.xxx Per mettere in sicurezza il servizio ntp sui sistemi Cisco, Juniper o con iptables sui sistemi linux, fare riferimento all articolo di Team Cymru 3. Se si ha necessità di utilizzare una funzionalità analoga a quella offerta da monlist, utilizzare in alternativa il comando mrulist 4. Per contrastare attacchi di tipo IP Spoofed (dns, ntp, snmp, ecc.) è necessario, soprattutto per i service provider, implementare le seguenti Best Current Practice: BCP-38 5 : Defeating Denial of Service Attacks which employ IP Source Address Spoofing BCP-84 6 : Ingress Filtering for Multihomed Networks 1 aggiornamento rilasciato il 24 Marzo Early Warning Nota vulnerabilità VN-IT A Pag. 4/5

Disabilitare la funzionalità monitor (punto 1) o le interrogazioni per la verifica dello stato del servizio (punto 2) aggiungendo le seguenti direttive al file /etc/ntp.

5 Termini e condizioni di utilizzo della nota Le informazioni contenute nella presente nota sono fornite così come sono, a meri fini informativi. In nessun caso il CERT Poste Italiane può essere ritenuto responsabile di qualunque perdita, pregiudizio, responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni riportate nella presente nota. La versione.pdf della nota è statica ed, in quanto tale, contiene le informazioni disponibili al momento della pubblicazione. La diffusione, comunicazione, riproduzione, copia con qualsiasi mezzo delle informazioni contenute nella presente nota sono rigorosamente vietate. Non è consentito rivelare o comunicare in alcun modo a terzi tali informazioni, se non previa autorizzazione scritta del CERT di Poste Italiane. E obbligatorio adottare ogni precauzione necessaria ad impedire i rischi di accesso non autorizzato, uso non consentito o indebita appropriazione di tali informazioni da parte di soggetti, terzi o meno, non autorizzati. Eventuali delucidazioni sui contenuti della presente nota possono essere richiesti via al CERT di Poste Italiane all indirizzo: [email protected] Early Warning Nota vulnerabilità VN-IT A Pag. 5/5

indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni riportate nella presente nota. La versione.

Documenti analoghi

Early Warning. Bollettino VA-IT-130911-01.A

Early Warning. Bollettino VA-IT-130911-01.A Early Warning Bollettino VA-IT-130911-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-130911-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI