Exploit para vulnerabilidad de NTP liberado

Un investigador ha publicado una prueba de concepto para una vulnerabilidad en el daemon Network Time Protocol que podría sacar de linea un servidor con un solo paquete malformado.

El proyecto Network Time Foundation de NTP, corrigió este error y otros nueve con el lanzamiento el lunes pasado de NTP 4.2.8p9.

La vulnerabilidad afectó a NTP 4.2.7p22 hasta NTP 4.2.8p9 y ntp-4.3.0, pero no incluyendo ntp-4.3.94, dijo el investigador Magnus Stubman.

Stubman lanzó un exploit el lunes que corrompe el daemon NTP y crea una condición de denegación de servicio.

“La vulnerabilidad permite a usuarios no autenticados bloquear ntpd con un único paquete UDP mal formado, lo que provoca un null pointer dereference”, escribió Stubman en un comunicado.

Stubman dijo que encontró la vulnerabilidad el 24 de junio y la divulgó en privado. Un parche fue desarrollado y enviado a Stubman el 29 de septiembre; confirmó que mitigó el problema dos días después. NTP es un protocolo utilizado para sincronizar el tiempo en los relojes de la computadora.

A finales de 2014 y en 2015, hackers fueron capaces de explotar vulnerabilidades en NTP para aprovechar el poder de estos servidores y realizar ataques de negación de servicio distribuidos altamente amplificados.

Investigaciones de compañias Arbor Networks ilustraron la efectividad de los ataques de amplificación de NTP; En ese momento, Arbor dijo que el 85 por ciento de los ataques DDoS volumétricos que superaban los 100 Gbps eran ataques de reflexión NTP. Los expertos dijeron que los ataques de amplificación NTP son efectivos porque reflejan 1.000 veces el tamaño de la consulta inicial de nuevo al objetivo.

Algunos de esos números han sido desde entonces empequeñecidos, especialmente en los ataques DDoS impulsados por el malware y botnet Mirai. Mirai infecta los dispositivos conectados con malware uniéndolo a una botnet masiva; El malware busca los llamados dispositivos Internet de las Cosas y realiza ataques de fuerza bruta usando credenciales conocidas o predeterminadas para acceder al dispositivo antes de infectarlo.

Dada la disponibilidad del exploit de Stubman, se insta a los administradores a parchar sus instalaciones de NTP urgentemente.

La prueba de concepto puede ser consultada aquí: http://dumpco.re/cve-2016-7434/

Leave a Reply