网络时间协议中存在有严重的安全漏洞,攻击者可以利用这个漏洞引起严重的服务中断,窃听加密的通讯信息,以及绕过身份认证机制等等。
这对于网络管理员而言,绝对是一个坏消息。针对网络时间协议的网络攻击能够使HTTPS协议失效,并且还会引起一系列更加严重的安全问题。
这个漏洞是由思科公司的Talos安全情报研究团队所发现的,该团队目前正在对这个时间同步服务守护程序的代码进行安全审查。
网络时间协议守护进程(ntpd)是操作系统自带的一个程序,它可以利用网络时间协议(NTP)来帮助操作系统的系统时间与网络服务器进行同步。
网 络管理员能够设置相应的ntp.conf配置文件,而网络时间协议守护进程(ntpd)可以规定其他的网络时间协议(NTP)守护程序节点根据相应的 ntp.conf配置文件来进行操作和配置。攻击者能够利用网络时间协议守护进程中的一个逻辑错误来进行攻击,即网络时间协议守护进程再处理某些经过加密 的、没有得到应答的网络数据包时,会发生错误。
Talos团队发表了一篇文章, 并在文章中表示:“未经过身份验证的攻击者能够迫使网络时间协议守护进程(ntpd)与恶意的时间服务器源进行同步,这样一来,攻击者就可以随意修改目标 系统的系统时间了。网络时间协议守护进程(ntpd)在处理某些经过加密的、没有得到应答的网络数据包时,会发生错误。”
总的来说,恶意攻击者能够迫使目标主机的网络时间协议守护进程(ntpd)与恶意的时间同步源进行同步,并且干扰目标系统的系统时钟。
除此之外,网络时间协议守护进程(ntpd)也可以与特定类型的同步请求进行响应。
根 据思科Talos安全情报研究团队的描述:“在大多数的配置文件下,如果网络时间协议守护进程(ntpd)接收到了这样的一个数据包,如果网络时间协议守 护进程(ntpd)能够验证这个数据包的有效性,那么它就会让计算机与请求的发送端建立一个短暂的链接。比如说,当网络时间协议守护进程(ntpd)接收 到一个请求数据包时,ntpd会对数据包的有效性进行一系列的检测。”
专家警告称:在某些操作系统中,恶意地更改系统时间将会带来非常严重的影响,攻击者可以利用这一漏洞来实现:
-利用过期的账号和密码进行身份验证;
-让TLS客户端接收已经过期作废的证书,并拒绝当前有效的证书;
-绕过现代Web安全防御机制,例如证书绑定以及HTTP安全传输机制;
-强制刷新缓存系统中的缓存数据,从而导致系统性能显著下降,例如DNS和CDN等;
-攻击基于物理的实时网络系统;
谁将受到这些问题的影响?
这一漏洞将会影响ntp 4.2.8p3,正如Talos团队的专家所述,这一漏洞早在2009年的ntp 4.2.5p186版本中就已经存在了。
因此,在所有ntp-4发行版的版本中,4.2.5p186至4.2.8p3版本的ntp都存在这一漏洞。在所有ntp-4开发版的版本中,4.3.0至4.3.76版本的ntp也存在这一漏洞。除此之外,所有整合了上述版本ntpd的产品也将会受到这一漏洞的影响。
除此之外,Talos安全情报研究团队的专家们还发现了下列漏洞:
-整型溢出将引起守护进程的崩溃;
-NTP的密码管理器中存在一个用后释放(UAF)漏洞和一个缓冲区溢出漏洞;
-一个VMS目录遍历漏洞;
-NTPQ中的一个漏洞;
-远程攻击者可以向目标主机发送一个恶意的配置文件,从而对目标主机发动拒绝服务(DoS)攻击;
-守护进程中存在一个缓冲区溢出漏洞;
NTP项目小组建议广大用户应当尽快安装ntp-4.2.8p4来修复这一问题,并且采用BCP 38数据包输入输出过滤。
