انتشار کد انسداد سرویس برای NTP: کارگزارهای خود را برای دریافت وصله به‌روز کنید

۱۰اخیراً یک بسته‌ی نفوذی آزمایشی منتشر شده که برای سوءاستفاده از یک آسیب‌پذیری بحرانی در دیمن پروتکل زمان شبکه طراحی شده است؛ این بسته‌ی نفوذی می‌تواند به هر کسی امکان دهد تا کارگزار را به کمک یک بسته‌ی مخرب دست‌کاری شده متوقف سازد.
این آسیب‌پذیری توسط بنیاد زمان شبکه۱ و با انتشار NTP ۴.۲.۸p۹ رفع شده است، این به‌روزرسانی شامل ۴۰ وصله‌ی امنیتی و اصلاحیه است.
دیمن NTP تقریباً در هر دستگاهی که نیاز به هم‌گام‌سازی زمان روی ساعت‌های رایانه داشته باشد استفاده می‌شود. NTP در اواخر سال ۲۰۱۴ و ۲۰۱۵ بیشترین توجه را به خود جلب کرد، زمانی که نفوذگران برای راه‌اندازی حملات تشدیدشده‌ی انسداد سرویس توزیع‌شده علیه سرویس‌ها از آن استفاده نمودند.
این شکاف که روی نسخه‌های ماقبلِ ۴.۲.۸p۹ از nptd اثر می‌گذارد اما ntp-۴.۳.۹۴ را شامل نمی‌شود، توسط محقق امنیتی به نام مگنوس استاب‌من کشف شده است، کسی که به‌طور خصوصی آن را در ژوئن ۲۰۱۴ به بنیاد زمان شبکه گزارش نمود.
در ۲۹ سپتامبر وصله‌ای برای این آسیب‌پذیری توسعه پیدا کرده و به استاب‌من ارسال شد، درست دو روز بعد این محقق تأیید کرد که این وصله موجب بهبود اوضاع می‌شود. حال این محقق دست به افشای عمومی این آسیب‌پذیری زده است.
این شکاف به کاربرانی که احراز هویت نشده‌اند اجازه می‌دهد تا ntpd را به کمک یک بسته‌ی مخرب UDP متوقف سازند، در حقیقت این شکاف باعث پیدایش یک ارجاع به اشاره‌گر Null یا پوچ می‌شود.
استاب‌من همچنین یک بسته‌ی نفوذی آزمایشی را منتشر نمود که می‌تواند دیمن NTP را با توقف مواجه کرده و وضعیت انسداد سرویس را پدید بیاورد. این مسئله فقط روی ویندوز اثر می‌گذارد.
علاوه بر این آسیب‌پذیری با شدت تخریب بالا، جدیدترین به‌روزرسانی NTP به دو خطای دارای شدت متوسط، دو شکاف با شدت متوسط-پایین، و پنج مسئله‌ی امنیتی با شدت سختی پایین نیز ترتیب اثر داده است؛ در نسخه‌ی ۴.۲.۸p۸ شاهد ۲۸ مورد اصلاح آسیب‌پذیری و بهبودهای دیگری می‌باشیم.
یکی دیگر از اشکال‌های مهم، یک مورد آسیب‌پذیری تله‌ی توقف است که توسط متی ون گاندی از سیسکو گزارش شده است.
چنانچه سرویس تله به وضوح فعال شود، نفوذگر می‌تواند یک بسته‌ی دست‌کاری شده‌ی خاص را برای ایجاد ارجاع به اشاره‌گر با مقدار پوچ ارسال نماید که این موضوع موجب توقف ntpd می‌شود و در نهایت به انسداد سرویس ختم می‌گردد.
تیم پاسخ‌گویی اضطراری به رخدادهای سایبری در مؤسسه‌ی مهندسی نرم‌افزار دانشگاه کارنگی ملون یک فهرست کامل و بلندبالا از آسیب‌پذیری‌های موجود در NTP و اصلاحیه‌های مربوط به آن‌ها را منتشر کرده است. این تیم همچنین از برخی از شرکت‌ها نام برده که NTP را پیاده‌سازی کرده‌اند و ممکن است تحت تأثیر این شکاف‌ها باشند.
از آن‌جایی‌که کد نفوذی این اشکال دارای درجه‌ی دشواری شدید و بحرانی در دسترس عموم قرار دارد، به مدیران شبکه‌ها به شدت توصیه می‌شود تا پیاده‌سازی‌های NTP خود را در اولین فرصت وصله نمایند.
ما در گذشته شاهد آن بودیم که نفوذگران از کارگزارهای NTP به کمک ارسال بسته‌های جعلی و کوچک UDP به کارگزار آسیب‌پذیری سوءاستفاده می‌کردند که این کارگزار مقدار قابل توجهی از داده‌ها را برای ارسال به این آدرس IP هدف حمله‌ی DDoS درخواست می‌نمود.
از سال ۲۰۱۴ یک حمله‌ی DDoS تشدیدشده‌ی NTP با سرعت بیش از ۴۰۰ گیگابیت در ثانیه علیه شرکت ارائه‌دهنده‌ی محتوا و ضد انسداد سرویس توزیع‌شده‌ی CloudFlare و نیز یک حمله‌ی DDoS حجمی با سرعتی متجاوز از ۱۰۰ گیگابیت در ثانیه علیه سرویس‌های بازی مانند League of Legends، EA.com، و Battle.net انجام شده است.
در مطالعه‌ای که توسط Arbor Networks و در اواخر ۲۰۱۳ انجام شد، محققان توانستند میزان اثربخشی حملات تقویت NTP را به تصویر بکشند، اثراتی که برای خروج هر کارگزار بزرگی از حالت برخط کافی و کارآمد به نظر می‌رسد چرا که پاسخی ۱۰۰۰ برابر بزرگ‌تر از پرس‌وجو (کوئری) اولیه را به هدف بازمی‌گرداند.

۱. Network Time Foundation

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter