Tấn công khuếch đại NTP sử dụng CVE-2013-5211

696
11-04-2018
Tấn công khuếch đại NTP sử dụng CVE-2013-5211

Tấn công khuếch đại NTP sử dụng CVE-2013-5211, hãy cùng điểm qua mô tả và các giải pháp cho các cuộc tấn công này cùng Bizfly Cloud thông qua bài viết sau đây nhé!

Hệ thống bị ảnh hưởng

Máy chủ NTP

Tổng quan

Một cuộc tấn công khuếch đại NTP (NTP Amplification Attack) là một dạng tấn công từ chối dịch vụ phân tán (Distributed Denial of Service), chúng dựa trên việc sử dụng các server NTP công cộng để áp đảo hệ thống của nạn nhân bằng các lưu lượng UDP.

Mô tả

Dịch vụ NTP hỗ trợ hỗ trợ một dịch vụ giám sát, cho phép các quản trị viên truy vấn máy chủ để tính toán lưu lượng của các máy khách đã kết nối. Thông tin này sẽ được cung cấp bằng lệnh "monlist".

Về cơ bản, kỹ thuật tấn công thường bao gồm: một kẻ tấn công gửi yêu cầu "get monlist" đến máy chủ NTP có chứa lỗ hổng, với địa chỉ nguồn là địa chỉ giả mạo địa chỉ của nạn nhân.

Ảnh hưởng

Cuộc tấn công này dựa trên việc khai thác tính năng "monlist" của NTP, tính năng này thường được mặc định kích hoạt trên các thiết bị có NTP phiên bản cũ hơn. Lệnh monlist sẽ tạo ra một danh sách 600 địa chỉ IP cuối cùng có kết nối với máy chủ NTP để gửi tới nạn nhân. Khi máy chủ NTP gửi thông tin phản hồi, nó sẽ được gửi đến nạn nhân do địa chỉ nguồn là giả mạo.

Lúc này, kích thước của thông tin phản hồi lớn hơn rất nhiều so với yêu cầu nên kẻ tấn công có thể khuyếch đại khối lượng lưu lượng hướng trực tiếp tới nạn nhân. Ngoài ra, trong trường hợp này, các phản hồi là những dữ liệu hợp lệ đến từ các máy chủ hợp lệ, nên khá khó khăn trong việc chống lại tấn công NTP này.

Giải pháp có thể áp dụng lúc này là hãy vô hiệu hóa "monlist" trong server NTP hoặc nâng cấp lên phiên bản NTP mới nhất (4.2.7).

Giải pháp

Phát hiện

Trên nền tảng UNIX, lệnh ntpdc sẽ truy vấn các server NTP hiện có nhằm mục đích theo dõi toàn bộ dữ liệu. Nếu hệ thống đang có nguy cơ bị tấn công do lỗ hổng, lệnh ntpdc sẽ phản hồi lại lệnh monlist trong chế độ tương tác. Mặc định hiện nay, hầu hết các bản phân phối UNIX và Linux hiện đại đều cho phép người dùng sử dụng lệnh này từ localhost, trừ máy chủ từ xa (remote host).

Để kiểm tra hỗ trợ monlist, bạn hãy thực hiện như sau:

/ usr / sbin / ntpdc

monlist

Ngoài ra, bạn có thể tìm thấy script ntp-monlist luôn sẵn có cho NMap, chúng sẽ tự động hiển thị kết quả của lệnh monlist. Trong trường hợp, nếu hệ thống không hỗ trợ truy vấn, (tức hệ thống không bị ảnh hưởng bởi loại tấn công này), NMap sẽ trả về lỗi loại 4 (No Data Available) hoặc không hồi đáp bất cứ điều gì.     

Khuyến cáo

Theo mặc định, tất cả các phiên bản ntpd trước phiên bản 4.2.7 đều rất dễ dàng bị tấn công, do đó thao tác đơn giản nhất chúng tôi khuyên bạn, đó là hãy nâng cấp  ntpd có thể truy cập công khai lên phiên bản cao hơn nữa, ít nhất cũng nên là 4.2.7. Tuy nhiên, trong trường hợp bạn không thể nâng cấp phiên bản ntpd của mình lên, hãy vô hiệu chức năng giám sát trong các phiên bản hiện hành bạn hiện có. 

Để vô hiệu chức năng "monlist" trên server NTP không có khả năng nâng cấp lên phiên bản 4.2.7, bạn hãy thêm chỉ thị "noquery" vào "restrict default" trong hệ thống ntp.conf như sau: 

restrict default kod nomodify notrap nopeer noquery

restrict -6 default kod nomodify notrap nopeer noquery

Cảm ơn bạn đã theo dõi! Nếu có thắc mắc và cần hỗ trợ, đừng ngần ngại liên hệ với VCCloud, các chuyên gia sẽ luôn sẵn sàng giúp đỡ bạn!

Theo Bizfly Cloud chia sẻ

SHARE