Nota Vulnerabilità VN-IT-140113-01.A



Documenti analoghi
Early Warning. Bollettino VA-IT A

Early Warning Bollettino VA-IT B

Early Warning Bollettino VA-IT A

Bollettino VA-IT A

Bollettino VA-IT A

Bollettino VA-IT A

ARP e RARP. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it Fulvio RISSO

NTP. (Sincronizziamo gli orologi)

Domande e risposte su Avira ProActiv Community

Multicast e IGMP. Pietro Nicoletti

INTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam.

Il tuo manuale d'uso. SONY ERICSSON Z550I

Inizializzazione degli Host. BOOTP e DHCP

Clausola espressa di esclusione della responsabilità del sito web

ARP e instradamento IP

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

SWITCH. 100 Mb/s (UTP cat. 5E) Mb/s SWITCH. (UTP cat. 5E) 100 Mb/s. (UTP cat.

Informativa sulla privacy

Gestione degli indirizzi

Vulnerability scanning

Reti di Telecomunicazione Lezione 8

MyFRITZ!, Dynamic DNS e Accesso Remoto

Informativa ex art. 13 D.lgs. 196/2003

ICMP. Internet Control Message Protocol. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

RADIUS - ACCESSO DA TELNET E DA CONSOLE

Software Servizi Web UOGA

15J0460A300 SUNWAY CONNECT MANUALE UTENTE

CONDIZIONI SPECIFICHE DI SERVIZIO PACCHETTO HUBILITAS SYNC-COMMERCE OFFERTO DA BLUPIXEL IT SRL

EUROCONSULTANCY-RE. Privacy Policy

Transmission Control Protocol

Manuale di Aggiornamento BOLLETTINO. Rel H4. DATALOG Soluzioni Integrate a 32 Bit

Protocolli di Comunicazione

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

CONFIGURARE SAMBA 3 SU SUSE LINUX 9.1/9.2

Stampa in linea 4.0. Edizione 1

Condividi in linea 3.1. Edizione 1

Gestione degli indirizzi

Andreani Tributi Srl. Titolare del Trattamento dei Dati. P.Iva Sede: Via Cluentina 33/D Macerata

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

SNMP e RMON. Pietro Nicoletti Studio Reti s.a.s. Mario Baldi Politecnico di Torino. SNMP-RMON - 1 P. Nicoletti: si veda nota a pag.

Riccardo Paterna

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Instradamento IP A.A. 2005/2006. Walter Cerroni. IP: instradamento dei datagrammi. Routing : scelta del percorso su cui inviare i dati

Man-in-the-middle su reti LAN

CONDIZIONI SPECIALI DI HOSTING DI UN SERVER DEDICATO

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI

La privacy policy di questo sito

Reti di Telecomunicazione Lezione 6

Technical Support Bulletin No.17 ModemOverIP

Sicurezza nelle reti

DW-SmartCluster (ver. 2.1) Architettura e funzionamento

Informazioni Generali (1/2)

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

Prof. Mario Cannataro Ing. Giuseppe Pirrò

Chat. Connettersi a un server di chat. Modificare le impostazioni di chat. Ricevere impostazioni chat. Chat

SIP e SDP. Segnalazione nelle reti VoIP. Fulvio Risso. Politecnico di Torino

Reti di Calcolatori

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

ARP (Address Resolution Protocol)

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Condividi in linea 2.0

ACCESS LIST. Pietro Nicoletti

Elementi sull uso dei firewall

La sicurezza delle reti

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI La presente informativa è resa ai sensi dell'articolo 13 del d.lg. n. 196/ Codice in materia

Network Services Location Manager. Guida per amministratori di rete

Informativa Privacy Privacy Policy di

Modulo Internet IP100. (cod. PXDIP10) Manuale utente. Distribuzione apparecchiature sicurezza

Guida di Pro PC Secure

Access Control List (I parte)

DISCIPLINARE TECNICO Modalità tecniche per la predisposizione e l invio telematico dei dati delle certificazioni di malattia all INPS

penetration test (ipotesi di sviluppo)

Privacy Policy di Questa Applicazione raccoglie alcuni Dati Personali dei propri Utenti.

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

VULNERABILITY ASSESSMENT E PENETRATION TEST

SIP-Phone 302 GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Transcript:

Early Warning Nota Vulnerabilità VN-IT-140113-01.A Early Warning Pag. 1/5

INFORMAZIONI DEL BOLLETTINO EARLY WARNING DI RIFERIMENTO TITOLO BOLLETTINO VA Denial of Service del demone ntpd Data Pubblicazione 13/01/2014 Data di pubblicazione della presente nota. PI-CERT ID VA-IT-140113-01.A Identificativo del bollettino di riferimento di Early Warning del CERT di Poste Italiane. DESCRIZIONE Il servizio NTP (Network Time Protocol), trasportato su UDP, utilizzato per la sincronizzazione dei sistemi connessi ad Internet può essere sfruttato per condurre attacchi di tipo reflected and amplified DDoS. Questa tipologia di attacchi si possono verificare quando gli attaccanti inviano pacchetti con indirizzo IP sorgente alterato (quello della vittima). Dato che l indirizzo IP sorgente è contraffatto, il sistema server risponde e invia i dati alla vittima ignara (cd. spoofing). Questo aspetto diventa problematico quando l attacco è amplificato sfruttando, ad esempio, la debolezza insita nell implementazione del protocollo NTP ed in particolare di alcune sue specifiche funzionalità, utilizzate per scopi di monitoraggio. In particolare, la problematica si presenta utilizzando il comando monlist in quanto il servizio NTP, a fronte di tale richiesta, restituisce la lista degli ultimi 600 indirizzi IP con cui ha interagito. Accade quindi che, in conseguenza di una richiesta di pochi bytes, si generano risposte amplificate, utilizzate per saturare la vittima. Di seguito si riportano indicazioni per la verifica della presenza della funzionalità oggetto della problematica e le relative misure di contrasto e prevenzione. Early Warning Nota vulnerabilità VN-IT-140113-01.A Pag. 2/5

VERIFICA VULNERABILITA I seguenti comandi consentono di verificare se le funzionalità REQ_MON_GETLIST e REQ_MON_GETLIST_1 sono abilitate sui sistemi: ntpq c rv xxx.xxx.xxx.xxx ntpdc c sysinfo xxx.xxx.xxx.xxx ntpdc c n monlist xxx.xxx.xxx.xxx ad esempio: ntpdc c n monlist xxx.xxx.xxx.40 Un altro modo per verificare le funzionalità descritte è l utilizzo del tool nmap: nmap su pu:123 Pn n script=/usr/share/nmap/scripts/ntp-monlist.nse xxx.xxx.xxx.40 Early Warning Nota vulnerabilità VN-IT-140113-01.A Pag. 3/5

SOLUZIONI Effettuare l upgrade dell ntp server alla versione 4.2.7p26 1 o successiva (rif. CVE-2013-5211), se non è possibile effettuare l aggiornamento procedere con le seguenti azioni di mitigazione. Disabilitare la funzionalità monitor (punto 1) o le interrogazioni per la verifica dello stato del servizio (punto 2) aggiungendo le seguenti direttive al file /etc/ntp.conf 2 (è richiesto il riavvio del solo servizio): 1. disable monitor 2. IPV4: restrict default kod nomodify notrap nopeer noquery IPv6: restrict -6 default kod nomodify notrap nopeer noquery E anche possibile limitare l accesso alle sole reti autorizzate (punto 1) o singoli host autorizzati (punto 2) aggiungendo le seguenti direttive (è richiesto il riavvio del solo servizio): 1. restrict xxx.xxx.xxx.xxx netmask 255.255.0.0 2. restrict xxx.xxx.xxx.xxx Per mettere in sicurezza il servizio ntp sui sistemi Cisco, Juniper o con iptables sui sistemi linux, fare riferimento all articolo di Team Cymru 3. Se si ha necessità di utilizzare una funzionalità analoga a quella offerta da monlist, utilizzare in alternativa il comando mrulist 4. Per contrastare attacchi di tipo IP Spoofed (dns, ntp, snmp, ecc.) è necessario, soprattutto per i service provider, implementare le seguenti Best Current Practice: BCP-38 5 : Defeating Denial of Service Attacks which employ IP Source Address Spoofing BCP-84 6 : Ingress Filtering for Multihomed Networks 1 aggiornamento rilasciato il 24 Marzo 2010 2 http://support.ntp.org/bin/view/support/accessrestrictions 3 http://www.team-cymru.org/readingroom/templates/secure-ntp-template.html 4 http://bugs.ntp.org/show_bug.cgi?id=1531 5 http://tools.ietf.org/rfc/bcp/bcp38.txt 6 http://tools.ietf.org/rfc/bcp/bcp84.txt Early Warning Nota vulnerabilità VN-IT-140113-01.A Pag. 4/5

Termini e condizioni di utilizzo della nota Le informazioni contenute nella presente nota sono fornite così come sono, a meri fini informativi. In nessun caso il CERT Poste Italiane può essere ritenuto responsabile di qualunque perdita, pregiudizio, responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni riportate nella presente nota. La versione.pdf della nota è statica ed, in quanto tale, contiene le informazioni disponibili al momento della pubblicazione. La diffusione, comunicazione, riproduzione, copia con qualsiasi mezzo delle informazioni contenute nella presente nota sono rigorosamente vietate. Non è consentito rivelare o comunicare in alcun modo a terzi tali informazioni, se non previa autorizzazione scritta del CERT di Poste Italiane. E obbligatorio adottare ogni precauzione necessaria ad impedire i rischi di accesso non autorizzato, uso non consentito o indebita appropriazione di tali informazioni da parte di soggetti, terzi o meno, non autorizzati. Eventuali delucidazioni sui contenuti della presente nota possono essere richiesti via e-mail al CERT di Poste Italiane all indirizzo: cert@posteitaliane.it Early Warning Nota vulnerabilità VN-IT-140113-01.A Pag. 5/5

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back