CSIRT Panamá Aviso 2014-07- DRDoS por Amplificación de NTP (CVE-2013-5211)

CSIRT Panamá Aviso 2014-07- DRDoS por Amplificación de NTP (CVE-2013-5211)
Gravedad: Alta
Fecha de publicación: Julio 15, 2014
Fecha de modificación: Julio 15, 2014
Última revisión: Revisión A.
Fuente: CSIRT Panamá

Sistemas afectados
• NTP 4.2.7

I. Descripción
La característica monlist en ntp_request.c en ntpd en NTP antes de 4.2.7p26 permite a atacantes remotos provocar una negación de servicio por amplificación de tráfico a través de solicitudes:
• REQ_MON_GETLIST
• REQ_MON_GETLIST_1

II. Impacto
Vector de acceso: A través de red.
Complejidad de Acceso: Baja.
Autenticación: No requerida para explotarla.
Tipo de impacto: Un atacante remoto puede utilizar esta vulnerabilidad en un servidor NTP para realizar un ataque de negación de servicio distribuido reflexivo (DRDoS).

III. Detección
En plataformas tipo UNIX, la instrucción ntpdc consulta los servidores NTP existentes para monitoreo de datos. Si el sistema es vulnerable, responderá a la instrucción monlist. Cabe destacar que las versiones más recientes de distribuciones Linux y Unix permiten la utilización de esta instrucción localmente, mas no así hacia un servidor remoto.
Para verificar si su servidor NTP es vulnerable puede ejecutar desde su máquina la siguiente instrucción:
$ ntpdc –n –c monlist <dirección_ip_servidor_ntp>
Adicionalmente, puede utilizar el script “ntp-monlist” en nmap, el cual automáticamente desplegará los resultados de la instrucción monlist .
# nmap –sU –pU:123 –Pn –n –script=ntp-monlist <dirección_ip_servidor_ntp>

III. Mitigación
Actualizar el software
Se recomienda actualizar el software ntpdc a la versión 4.2.7p26 o superior a todos los usuarios afectados.
Si no le es posible actualizar, considere estas opciones.

Filtrado de salida
Configure su enrutador / firewall para que realice filtrado de salida, el cual puede ayudar a mitigar ataques que utilicen spoofing de IP. Consulte la documentación de su producto para las instrucciones acerca de cómo realizar esta tarea.
Desactivar las consultas de estado o restringir su acceso
Añada las siguientes instrucciones al archivo de configuración ntp.conf si su implementación de NTP es vulnerable. Recuerde reiniciar el servicio ntpdc para que los cambios tengan efectos. Tenga en cuenta que las consultas de ntpq y ntpdc proveen información útil que ayudan a la depuración de problemas con este servicio.
IPV4: restrict default kod nomodify notrap nopeer noquery
IPV6: restrict -6 default kod nomodify notrap nopeer noquery

También es posible restringir el acceso por segmento de red y por host:

restrict default noquery
restrict localhost
restrict <segmento_de_red> netmask <mascara>
restrict <dirección_ip>

IV. Información adicional
[1] https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300
[2] http://nmap.org/nsedoc/scripts/ntp-monlist.html
[3] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211
[4] https://community.qualys.com/blogs/securitylabs/2014/01/21/how-qualysguard-detects-vulnerability-to-ntp-amplification-attacks
[5] http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html

IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: https://www.cert.pa

—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v2.0.17 (MingW32)
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=JUYg
—–END PGP PUBLIC KEY BLOCK—–