Cabecera-v2-web.jpg

Vulnerabilidades en el protocolo NTP


Se han anunciado 11 vulnerabilidades en el protocolo Network Time Protocol (NTP), que podrí­an permitir modificar el reloj de los sistemas atacados o provocar condiciones de denegación de servicio.

NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrí­nseca y de las condiciones de la red.

La lista de problemas es amplia, calificados por ntp.org como de gravedad baja a media. Entre las vulnerabilidades más destacables podemos reseñar un fallo (con CVE-2016-1551) en el filtrado de paquetes del rango de red 192.0.0.0/8 podrí­a permitir a un atacante que enví­e paquetes falsificados modificar el reloj del sistema atacado.

A priori, no parece importante que se pueda modificar el reloj de un sistema. Sin embargo, tiene consecuencias indirectas sobre otras funcionalidades. Por ejemplo, cambiar la fecha a un año atrás harí­a al sistema aceptar certificados ya revocados con la clave privada comprometida, lo que permitirí­a realizar un ataque de suplantación de identidad. Además de afectar a servicios de autenticación como Kerberos y Active Directory, que dependen de un reloj en hora para su correcto funcionamiento.

Otro problema interesante, con CVE-2016-1550, resulta de la diferencia de tiempo al enviar un paquete de error cuando no corresponde el resumen de contenido en un paquete con el valor calculado por el cliente utilizando la clave secreta. Esto es, en comparación, desajustes en los primeros bytes generan paquetes crypto-NAK antes que los desajustes en los últimos bytes. Los atacantes pueden descubrir el valor de la clave compartida por un ataque de fuerza bruta al resumen MD5 y el examen del tiempo de los paquetes de crypto-NAK devueltos. Una vez conocida la clave el atacante podrá enviar paquetes NTP que serán autenticados como válidos.

Más problemas residen en que ntpd es vulnerable ante ataques Sybil (CVE-2016-1549), que pueden permitir la creación de múltiples asociaciones peer-to-peer, y facilitar la falsificación del reloj del sistema. También (con CVE-2016-1548) la posibilidad de forzar a un cliente ntpd para cambiar del modo cliente-servidor básico a simétrico. Esto podrí­a permitir al atacante cambiar el reloj o provocar denegaciones de servicio.

Se recomienda actualizar a la versión 4.2.8p7 disponible desde:
http://www.ntp.org/downloads.html



Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11