NTP MONITOR Este informe identifica los servidores NTP que tienen el potencial de ser usados para ataques de amplificación por delincuentes que deseen realizar ataques de denegación de servicio. El comando monitor de NTP es una consulta Modo 7 para MON_GETLIST_1. Para comprobar manualmente si un sistema es vulnerable a este, puede utilizar el comando: ntpdc -n -c monlist [ip] INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Field Description
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
TIMESTAMP_ECUCERT Tiempo en que la IP fue probada por el ECUCERT
AS_name Nombre del ASN
STATUS_ECUCERT Estado de la vulnerabilidad
timestamp Tiempo en que la IP fue probada por el Shadow server UTC 0
ip Dirección IP del dispositivo en cuestión
protocol Protocolo que la respuesta NTP vino (UDP)
port Puerto que la respuesta NTP vino
hostname Nombre DNS inversa del dispositivo en cuestión
packets Número total de paquetes que se reciben del dispositivo en cuestión
size Cantidad total de datos (en bytes) recibidos del dispositivo en cuestión
asn ASN en donde el dispositivo en cuestión se aloja
geo País en donde el dispositivo en cuestión reside
region Provincia
city Ciudad en donde el dispositivo en cuestión reside
INSTRUCCIONES PARA CORREGIR EL PROBLEMA DE NTP-MONITOR En el archivo de configuración del servidor NTP se debe incluir la siguiente línea: ntp-diasble-query-ntporg Ataques de amplificación usando NTP 1. Sistemas afectados NTP Servers Un ataque de amplificación NTP es una forma emergente de ataques distribuidos de denegación de servicio (DDoS) que se basa en la utilización de servidores NTP públicamente accesibles para abrumar a un sistema de la víctima con el tráfico UDP. 2. Descripción El servicio NTP soporta un servicio de monitoreo que permite a los administradores consultar el servidor para una densidad de tráfico de clientes relacionados. Esta información se proporciona a través del comando "monlist". La técnica básica del ataque consiste en que un atacante envía una petición "get monlist" a un servidor NTP vulnerable, con la dirección de origen falsificada para que la respuesta se envíe a la víctima. 3. Impacto El ataque se basa en la explotación de la función 'monlist' de NTP, que está habilitado por defecto en los dispositivos NTP antiguos. Este comando hace una lista de las últimas 600 direcciones IP 600 que se conectaron con el servidor NTP la cual se enviará a la víctima. Debido a que la dirección de origen falsa, cuando el servidor NTP envía la respuesta se envía a esta dirección falsificada. Debido a que el tamaño de la respuesta es considerablemente más grande que la solicitud, el atacante es capaz de amplificar el volumen de tráfico dirigido a la víctima. Además, debido a que las respuestas son datos legítimos procedentes de servidores válidos, es especialmente difícil de bloquear estos tipos de ataques. La solución es desactivar "monlist" dentro del servidor NTP o para actualizar a la última versión del NTP (4.2.7) que desactiva la funcionalidad "monlist". 4. Solución a. Detección Sobre una plataforma UNIX, el comando "ntpdc" consultará servidores NTP existentes para los datos de seguimiento. Si el sistema es vulnerable a la explotación, se responde al comando "monlist" en modo interactivo. Por defecto, la mayoría de las distribuciones modernas de UNIX y Linux permiten que dicho comando se utilice desde el localhost, pero no desde un host remoto. Para la prueba de apoyo monlist, se debe ejecutar el siguiente comando en la línea de comandos: / usr / sbin / ntpdc monlist Además, la secuencia de comandos "ntp-monlist" está disponible para Nmap, que mostrará automáticamente los resultados del comando monlist. Si el sistema no admite la consulta, y por lo tanto no es vulnerable a este tipo de ataque, NMap devolverá un error de tipo 4 (No hay datos disponibles) o ninguna respuesta en absoluto. b. Acción recomendada Como todas las versiones de NTPD antes de 4.2.7 son vulnerables por defecto, la recomendación más simple de acción es actualizar todas las versiones de ntpd que son de acceso público a por lo menos la versión 4.2.7. Sin embargo, en los casos en que no sea posible actualizar la versión del servicio, es posible desactivar la función de limitador en las versiones anteriores del software. Para desactivar la funcionalidad "monlist" en un servidor NTP de cara al público que no puede ser actualizado a la 4.2.7, se debe añadir la directiva "noquery" a la línea "restrict deafult" en el archivo de configuración ntp.conf, como se muestra a continuación: restrict default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery Enlaces de interés: https://www.shadowserver.org/wiki/pmwiki.php/Services/NTP-Monitor https://ntpscan.shadowserver.org/ https://www.us-cert.gov/ncas/alerts/TA14-017A http://www.shadowserver.org/wiki/pmwiki.php/Involve/GetReportsOnYourNetwork Links de descarga:
NTP Descripción
DDOS basado en UDP
NTP Solucíon
MD5: ffa351229356171b3cb98ae2c81791bc MD5: 9938e9d584bad7c37294d4efe29c5975 MD5: befd1a08738df6e8c38bd00748bb650d
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT