Kurzinfo
Ntp-Server, die den peerlist-Befehl öffentlich erlauben, können für DoS-Angriffe missbraucht werden.
Treffsicherheit
Im Prinzip hoch, jedoch wird ein Rate-Limit vom Test nicht erkannt.
Beschreibung
Die Schwachstelle beruht auf folgenden Faktoren:
ntp kommuniziert mittels UDP und die UDP source IP kann leicht verändert werden auf die IP des zu dossenden Zieles
- der peerlist command liefert eine Liste an peers des Servers zurück
die Antwort fällt damit - abhängig von der Anzahl der Server Peers - um ein vielfaches größer aus als die Anfrage (=Amplifizierung)
Der Zugehörige Angriff ist unter Amplified UDP reflection attack ausführlich beschrieben.
Überprüfen ob der eigene ntp-Server für diese Attacke verwundbar ist, kann man mit folgendem Kommando:
ntpq -c rv -p IP-Adresse
Erscheint als Antwort eine Adressliste, ist der ntp-Server für diesen Angriff verwundbar. Es werden dabei die Adressen der anfragenden Server zurückgegeben. Daher ist es unbedenklich, wenn die eigene /etc/ntp.conf auf folgendes umgeschrieben wird:
# by default act only as a basic NTP client restrict -4 default nomodify nopeer noquery notrap restrict -6 default nomodify nopeer noquery notrap # allow NTP messages from the loopback address, useful for debugging restrict 127.0.0.1 restrict ::1 # server(s) we time sync to server ts1.aco.net server ts2.aco.net
Für Teilnehmer, die keinen eigenen ntp (Timeserver) betreiben, bietet das ACOnet den ts1.aco.net und ts2.aco.net an.
Gegenmaßnahmen
Geeignete Gegenmaßnahmen hängen vom Setup der eigenen Infrastruktur und dem gewünschten Einsatzzweck ab.
Da es sich meist um eine Fehlkonfiguration handelt, haben sich folgende Schritte bewährt:
- Prüfen ob der NTP SERVER Dienst auf dem Gerät wirklich benötigt wird und diesen eventuell deaktivieren (der NTP CLIENT kann aktiviert bleiben).
- Falls der NTP SERVER Dienst benötigt wird, in der Konfiguration peerlist Anfragen deaktivieren.
- Zugriff auf den NTP Server Dienst des Geräts auf das lokale Netz beschränken.
Sehr gute Hilfestellung bei der Ergreifung der individuell besten Maßnahmen finden sie auf ntp.org - ntpd access restrictions.
Cisco
Wir haben vermehrt gesehen das Cisco Router und Switches obwohl sie als ntp Client konfiguriert sind anfällig sind auf die version und peerlist Attacke. Das Bespiel unten illustriert in etwa wie man die Konfiguration ändern muss um ds PRoblem zu beheben.
ip access-list extended NTP-IPv4 permit udp host 131.130.250.250 any eq ntp permit udp host 193.171.23.164 any eq ntp permit udp host 131.130.1.11 any eq ntp permit udp host 131.130.1.12 any eq ntp deny ip any any ipv6 access-list NTP-IPv6 deny ipv6 any any ntp access-group peer NTP-IPv4 jenach IOS version ntp access-group ipv4 peer NTP-IPv4 ntp access-group ipv6 peer NTP-IPv6
Links
US-CERT Alert (TA14-013A) NTP Amplification Attacks Using CVE-2013-5211
https://www.us-cert.gov/ncas/alerts/TA14-013A
Kommt Zeit, kommt – DDoS-Angriff (Artikel auf Heise-Security)
https://heise.de/-2087846.html
Secure NTP Template. Konfigurations-Empfehlungen von Team Cymru.
https://www.team-cymru.com/secure-ntp-template.html
ACOnet-Timeserver
http://www.aco.net/timeserver.html?&L=0
Blog für Cisco
http://blog.ine.com/2008/07/28/ntp-access-control/
Erfahrungen
Derzeit keine vermerkt.