Исследователи Cisco Talos Group сообщили о новом типе атак на протокол NTP, с помощью которых злоумышленники могут вызывать серьезные сбои в работе системы, прослушивать зашифрованные коммуникации и обходить процесс аутентификации. Эксперты обнаружили уязвимости во время работы с кодом, основывающимся на демоне ntpd – программе, которая используется для синхронизации с серверами времени по NTP.
Ntpd определяет, с каким демоном взаимодействовать, по конфигурационному файлу ntp.conf, определенному администратором сети. Атака становится возможной из-за логической ошибки в процессе обработки некоторых пакетов crypto-NAK. Как пояснили эксперты, не аутентифицированный атакующий может сделать так, чтобы процессы ntpd взаимодействовали с вредоносными источниками времени, и тем самым внести произвольные изменения в системное время.
Когда уязвимый демон получает по NTP пакеты crypto-NAK в симметричном активном режиме, он начинает взаимодействовать с отправителем в обход процесса аутентификации, которая обычно необходима для этого. Проще говоря, злоумышленник может “заставить” ntpd взаимодействовать с вредоносным источником времени и благодаря этому управлять системными часами. Уязвимыми являются все стабильные релизы ntp с 4.2.5p186 до 4.2.8p3, а также версии, находящиеся в разработке, с 4.3.0 до 4.3.76. Бреши исправлены в релизе 4.2.8p4. (Cisco/NovostIT)
