NTP VERSION En el informe se identifica los servidores NTP que tienen activado una opción y podrían ser potencialmente usados para ataques de amplificación por delincuentes que deseen realizar ataques de denegación de servicio. El comando NTP-version es una consulta Modo 6 para READVAR. Aunque no es tan malo como la consulta Modo 7 para MONLIST, las consultas para READVAR normalmente proporcionan alrededor de 30x de amplificación. Para comprobar manualmente si un sistema es vulnerable a este, puede utilizar el comando: ntpq -c rv [ip] INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Field Description
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
TIMESTAMP_ECUCERT Tiempo en que la IP fue probada por el ECUCERT
AS_name Nombre del ASN
STATUS_ECUCERT Estado de la vulnerabilidad
timestamp Tiempo en que la IP fue probada por el Shadow server UTC 0
ip Dirección IP del dispositivo en cuestión
protocol Protocolo que la respuesta NTP vino (UDP)
port Puerto que la respuesta NTP vino
hostname Nombre DNS inversa del dispositivo en cuestión
asn ASN en donde el dispositivo en cuestión se aloja
geo País en donde el dispositivo en cuestión reside
region Provincia
city Ciudad en donde el dispositivo en cuestión reside
version Versión de software NTP y el tiempo de creación
clk_wander “clock frequency wander (PPM)”
clock Fecha y tiempo del Día
error Error de frecuencia
frequency Desplazamiento de frecuencia (PPM) en relación con reloj de hardware
jitter Jitter del reloj
leap Indicador de advertencia de salto (0-3)
mintc Constante de tiempo mínimo (log2 s) (3-10)
noise fase blanca ruido, aka jitter
offset Desplazamiento combinados del servidor relativo a este host
peer Un número de identificación de los pares en uso.
phase Desplazamiento combinados del servidor relativo a este host
poll Mensajes de poll enviados (por asociación con un reloj de referencia)
precision Precisión (log2 s)
processor Plataforma de hardware y la versión
refid ID de referencia
reftime Tiempo de referencia
rootdelay Retardo de ida y vuelta total al reloj de referencia primaria
rootdispersion Dispersión total al reloj de referencia primaria
stability PPM desviación media frecuencia
state El modo de operación actual NTP, donde 1 es simétrica activo, 2 es simétrica pasiva, 3 es cliente, 4 es el servidor, y 5 es de difusión.
stratum El estrato del servidor del mismo nivel (1-15). Cualquier cosa mayor que 1 es una referencia secundaria
system Operating system and version
tai “TAI-UTC offest (s)”
tc Constante de tiempo y exponente del poll (log2 s) (3-17)
INSTRUCCIONES PARA CORREGIR EL PROBLEMA DE NTP-VERSION En el archivo de configuración del servidor NTP se debe incluir la siguiente línea: ntp-diasble-query-ntporg Ataques de amplificación usando NTP 1. Sistemas afectados NTP Servers Un ataque de amplificación NTP es una forma emergente de ataques distribuidos de denegación de servicio (DDoS) que se basa en la utilización de servidores NTP públicamente accesibles para abrumar a un sistema de la víctima con el tráfico UDP. 2. Descripción El servicio NTP soporta un servicio de monitoreo que permite a los administradores consultar el servidor para una densidad de tráfico de clientes relacionados. Esta información se proporciona a través del comando "monlist". La técnica básica del ataque consiste en que un atacante envía una petición "get monlist" a un servidor NTP vulnerable, con la dirección de origen falsificada para que la respuesta se envíe a la víctima. 3. Impacto El ataque se basa en la explotación de la función 'monlist' de NTP, que está habilitado por defecto en los dispositivos NTP antiguos. Este comando hace una lista de las últimas 600 direcciones IP 600 que se conectaron con el servidor NTP la cual se enviará a la víctima. Debido a que la dirección de origen falsa, cuando el servidor NTP envía la respuesta se envía a esta dirección falsificada. Debido a que el tamaño de la respuesta es considerablemente más grande que la solicitud, el atacante es capaz de amplificar el volumen de tráfico dirigido a la víctima. Además, debido a que las respuestas son datos legítimos procedentes de servidores válidos, es especialmente difícil de bloquear estos tipos de ataques. La solución es desactivar "monlist" dentro del servidor NTP o para actualizar a la última versión del NTP (4.2.7) que desactiva la funcionalidad "monlist". 4. Solución a. Detección Sobre una plataforma UNIX, el comando "ntpdc" consultará servidores NTP existentes para los datos de seguimiento. Si el sistema es vulnerable a la explotación, se responde al comando "monlist" en modo interactivo. Por defecto, la mayoría de las distribuciones modernas de UNIX y Linux permiten que dicho comando se utilice desde el localhost, pero no desde un host remoto. Para la prueba de apoyo monlist, se debe ejecutar el siguiente comando en la línea de comandos: / usr / sbin / ntpdc monlist Además, la secuencia de comandos "ntp-monlist" está disponible para Nmap, que mostrará automáticamente los resultados del comando monlist. Si el sistema no admite la consulta, y por lo tanto no es vulnerable a este tipo de ataque, NMap devolverá un error de tipo 4 (No hay datos disponibles) o ninguna respuesta en absoluto. b. Acción recomendada Como todas las versiones de NTPD antes de 4.2.7 son vulnerables por defecto, la recomendación más simple de acción es actualizar todas las versiones de ntpd que son de acceso público a por lo menos la versión 4.2.7. Sin embargo, en los casos en que no sea posible actualizar la versión del servicio, es posible desactivar la función de limitador en las versiones anteriores del software. Para desactivar la funcionalidad "monlist" en un servidor NTP de cara al público que no puede ser actualizado a la 4.2.7, se debe añadir la directiva "noquery" a la línea "restrict deafult" en el archivo de configuración ntp.conf, como se muestra a continuación: restrict default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery Enlaces de interés: https://www.shadowserver.org/wiki/pmwiki.php/Services/NTP-Version https://ntpmonitorscan.shadowserver.org/ https://www.us-cert.gov/ncas/alerts/TA14-017A http://www.shadowserver.org/wiki/pmwiki.php/Involve/GetReportsOnYourNetwork Links de descarga:
NTP Descripción
DDOS basado en UDP
NTP Solucíon
MD5: ffa351229356171b3cb98ae2c81791bc MD5: 9938e9d584bad7c37294d4efe29c5975 MD5: 9cea0d58b10e2be7770fa16a4849c116
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT