Google安全研究人員發現NTP(網絡時間協議)最新漏洞
責編:admin |2014-12-22 13:47:11Google安全研究人員最近發現,NTP協議(網絡時間協議)出現了一些新的嚴重漏洞,NTP 4.2.8之前的版本均受影響,黑客可以利用這些漏洞展開遠程攻擊。
NTP 4.2.8以前版本均受影響
NTP協議是用于計算機系統之間的一個網絡時間同步協議。
在NTP 4.2.8之前的版本都會受到此次漏洞影響影響。更為嚴重的是,研究人員已經真實環境下發現了真實攻擊案例以及相應的漏洞利用程序(EXP)。在這一系列NTP協議的漏洞里,包括了遠程緩沖區溢出等嚴重問題,黑客可以輕松地將這些使用老版本NTP服務的服務器黑掉。
漏洞利用程序(EXP)已在地下流傳
ICS-CERT(工業控制應急響應中心)顧問稱:
“Google安全研究小組成員Neel Mehta和Stephen Roettger曾與CERT/CC合作研究NTP協議的多個漏洞。由于NTP協議在工控系統中廣泛使用,NCCIC/ICS-CERT向美國重要基礎設施資產管理者和客戶進行預警,同時希望盡快找出修復或緩解措施。”
漏洞可以被遠程利用,漏洞利用程序(EXP)也已經在地下黑市廣為流傳。黑客只需要發送單一的數據包,就可以對NTP緩沖區溢出進而執行惡意代碼,最后對NTPD進程的進行系統權限提升操作。
NTP漏洞的歷史攻擊案例
在之前的攻擊事件中,攻擊者往往利用NTP協議漏洞進行DDoS攻擊,比如在2013年圣誕節就曾出現過一系列NTP反射型DDoS攻擊案例。
NTP使用的UDP 123端口包含一個名為monlist模塊,NTP服務器收到monlist請求后最多可以返回100個響應包。因此攻擊者通過偽造受害主機的IP地址,向全網的NTP服務器發送monlist請求,NTP服務器進而向受害主機返回大量的數據包,造成其網絡擁塞。這是一種典型的分布式反射拒絕服務(DRDoS)攻擊方式。
在下圖中我們可以看到,約有15000個IP地址使用了NTP協議進行反射型攻擊,它們似乎屬于一個僵尸網絡。
NTP反射攻擊的放大系數高達1000,因此深受黑客們喜愛。攻擊者能在成本較低的情況下取得極為良好的攻擊效果