CSIRT Panam\u00e1 Aviso 2014-07- DRDoS por Amplificaci\u00f3n de NTP (CVE-2013-5211)
\nGravedad:\u00a0Alta
\nFecha de publicaci\u00f3n: Julio 15, 2014
\nFecha de modificaci\u00f3n: Julio 15, 2014
\n\u00daltima revisi\u00f3n: Revisi\u00f3n A.
\nFuente: CSIRT Panam\u00e1<\/p>\n
Sistemas afectados
\n\u2022 NTP 4.2.7<\/p>\n
I. Descripci\u00f3n
\nLa caracter\u00edstica monlist en ntp_request.c en ntpd en NTP antes de 4.2.7p26 permite a atacantes remotos provocar una negaci\u00f3n de servicio por amplificaci\u00f3n de tr\u00e1fico a trav\u00e9s de solicitudes:
\n\u2022 REQ_MON_GETLIST
\n\u2022 REQ_MON_GETLIST_1<\/p>\n
II. Impacto
\nVector de acceso: A trav\u00e9s de red.
\nComplejidad de Acceso: Baja.
\nAutenticaci\u00f3n: No requerida para explotarla.
\nTipo de impacto: Un atacante remoto puede utilizar esta vulnerabilidad en un servidor NTP para realizar un ataque de negaci\u00f3n de servicio distribuido reflexivo (DRDoS).<\/p>\n
III. Detecci\u00f3n
\nEn plataformas tipo UNIX, la instrucci\u00f3n ntpdc consulta los servidores NTP existentes para monitoreo de datos. Si el sistema es vulnerable, responder\u00e1 a la instrucci\u00f3n monlist. Cabe destacar que las versiones m\u00e1s recientes de distribuciones Linux y Unix permiten la utilizaci\u00f3n de esta instrucci\u00f3n localmente, mas no as\u00ed hacia un servidor remoto.
\nPara verificar si su servidor NTP es vulnerable puede ejecutar desde su m\u00e1quina la siguiente instrucci\u00f3n:
\n$ ntpdc \u2013n \u2013c monlist <direcci\u00f3n_ip_servidor_ntp>
\nAdicionalmente, puede utilizar el script \u201cntp-monlist\u201d en nmap, el cual autom\u00e1ticamente desplegar\u00e1 los resultados de la instrucci\u00f3n monlist .
\n# nmap \u2013sU \u2013pU:123 \u2013Pn \u2013n \u2013script=ntp-monlist <direcci\u00f3n_ip_servidor_ntp><\/p>\n
III. Mitigaci\u00f3n
\nActualizar el software
\nSe recomienda actualizar el software ntpdc a la versi\u00f3n 4.2.7p26 o superior a todos los usuarios afectados.
\nSi no le es posible actualizar, considere estas opciones.<\/p>\n
Filtrado de salida
\nConfigure su enrutador \/ firewall para que realice filtrado de salida, el cual puede ayudar a mitigar ataques que utilicen spoofing de IP. Consulte la documentaci\u00f3n de su producto para las instrucciones acerca de c\u00f3mo realizar esta tarea.
\nDesactivar las consultas de estado o restringir su acceso
\nA\u00f1ada las siguientes instrucciones al archivo de configuraci\u00f3n ntp.conf si su implementaci\u00f3n de NTP es vulnerable. Recuerde reiniciar el servicio ntpdc para que los cambios tengan efectos. Tenga en cuenta que las consultas de ntpq y ntpdc proveen informaci\u00f3n \u00fatil que ayudan a la depuraci\u00f3n de problemas con este servicio.
\nIPV4: restrict default kod nomodify notrap nopeer noquery
\nIPV6: restrict -6 default kod nomodify notrap nopeer noquery<\/p>\n
Tambi\u00e9n es posible restringir el acceso por segmento de red y por host:<\/p>\n
restrict default noquery
\nrestrict localhost
\nrestrict <segmento_de_red> netmask <mascara>
\nrestrict <direcci\u00f3n_ip><\/p>\n
IV. Informaci\u00f3n adicional
\n[1] https:\/\/isc.sans.edu\/forums\/diary\/NTP+reflection+attack\/17300
\n[2] http:\/\/nmap.org\/nsedoc\/scripts\/ntp-monlist.html
\n[3] http:\/\/web.nvd.nist.gov\/view\/vuln\/detail?vulnId=CVE-2013-5211
\n[4] https:\/\/community.qualys.com\/blogs\/securitylabs\/2014\/01\/21\/how-qualysguard-detects-vulnerability-to-ntp-amplification-attacks
\n[5] http:\/\/www.team-cymru.org\/ReadingRoom\/Templates\/secure-ntp-template.html<\/p>\n
IV. Informaci\u00f3n de contacto
\nCSIRT PANAMA
\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental
\nE-Mail: info@cert.pa
\nWeb: https:\/\/www.cert.pa<\/p>\n
—–BEGIN PGP PUBLIC KEY BLOCK—–
\nVersion: GnuPG v2.0.17 (MingW32)<\/p>\n
mQENBE8C9KoBCAClkvrtdD08B1YgIntnK241GmWY7fRWtPn\/QIEG1+TLokEuOhw+
\nGq\/lK\/4NP9RzqpD57LcRUBiGgTmO\/5C9xkhVmxz2jid0h03fLorC84rAk2pOjr0i
\npbltETq9RCGhOWp13OV22x2yiIedBi05bzw3F+uLHhn9xKjmpBuZB6WO\/TuD52DH
\nKRZtwSvoaa61vL0bGnIf3lNGWkALWEC3lGBppby4D05N2FNfgfOFr1yOpxTaRaDh
\n4kOnoAEWVzppkTPyqSOkwXmgdma8D9yqD41Ffu8ypGTv+OOVO7jDq8tx9wVZEU+w
\npqBTzQcf0P0K7qO3igdHQxqHmqXsaJpbmvCBABEBAAG0KkNTSVJUIFBhbmFtYSAo
\nQ1NJUlQgUGFuYW1hKSA8aW5mb0BjZXJ0LnBhPokBOAQTAQIAIgUCTwL0qgIbDwYL
\nCQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQ2YlXchbysSSPSQgAooUy3qSR\/YX2
\nH3USJ5VzrmnraHg5LIWRPIBD1PGrswjLE8hxdobPU\/uzi9LWnEcDscfFVKM\/K0Jt
\nbjeoESqCVFlpE0YXJWdDhy0m2WM410sDE2HVXbPhWGqrNeDb0VUV\/LWag1yYTj5w
\nkkxma4Tk5TqlhgL5su2PpjtTdFSHYD4N+4mu7g1GhRrrpz+u7ZRm3b\/WkAJg5FIg
\nU0MpPqUGAF5\/pc02ZB10FdxDwWyXAkwYUN+zfLiKzKOrBGkEw9+jvFGU+z76P9Zk
\n1XJIexpmkBYTxc+TOclhAp\/3HP4taoBHRMoR1q1YhdC++UgRSLmPLGn\/AB707JzN
\nQ80++q2kWQ==
\n=JUYg
\n—–END PGP PUBLIC KEY BLOCK—–<\/p>\n","protected":false},"excerpt":{"rendered":"
CSIRT Panam\u00e1 Aviso 2014-07- DRDoS por Amplificaci\u00f3n de NTP (CVE-2013-5211) Gravedad:\u00a0Alta Fecha de publicaci\u00f3n: Julio 15, 2014 Fecha de modificaci\u00f3n: Julio 15, 2014 \u00daltima revisi\u00f3n: Revisi\u00f3n A. Fuente: CSIRT Panam\u00e1 Sistemas afectados \u2022 NTP 4.2.7…<\/p>\n","protected":false},"author":4,"featured_media":295,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[8,28],"class_list":["post-236","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos","tag-ntp"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/236","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=236"}],"version-history":[{"count":3,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/236\/revisions"}],"predecessor-version":[{"id":239,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/236\/revisions\/239"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/295"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=236"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=236"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=236"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}