2016.11.21日,ntf’s network time protocol (ntp) 項目釋出了 ntp-4.2.8p9 ,這是 ntp-4.2.8p8 釋出以來的第一次更新。此次更新釋出了10個漏洞,其中1個高危,具體資訊如下:
1 個高危漏洞,僅影響windows
2 medium severity vulnerabilities
2 medium/low severity vulnerabilities
5 low severity vulnerabilities
28 non-security fixes and improvements
全文如下
2016年11月21日(當地時間),nwtime.org網站釋出了一條關于ntf(network time foundation)的網絡時間協定(ntp)項目版本更新的消息,在新版本ntp-4.2.8p9中修複了ntp的多個漏洞,其中部分漏洞可以造成遠端拒絕服務。這些漏洞見下表
ntpd預設不啟用trap,然而當trap被啟用的時候,攻擊者可以發送一個精心構造的資料包造成空指針解引用,進而導緻ntpd拒絕服務。
一個可利用的配置修改漏洞存在于ntpd的控制模式功能中,攻擊者可以通過發送精心構造的控制模式資料包造成資訊洩露和拒絕服務攻擊。
如果攻擊者可以通路ntp廣播域,那麼他可以周期性地向廣播域中發送精心構造的資料包,進而迫使nptd從合法的ntp廣播伺服器發來的廣播模式資料包。
ntpd的廣播模式輪詢間隔執行功能中存在一個可利用的拒絕服務攻擊。一個可以接觸ntp廣播域的攻擊者可以向ntp廣播域中發送精心構造的資料包進而迫使ntpd丢棄從合法ntp廣播伺服器發來的廣播模式資料包。
windows上的ntpd在接收過大的udp資料包時會停止工作,導緻拒絕服務。
ntp-4.2.8p6修複了編号為ntp bug 2945的零值原始時間戳的bug,然而卻引入了對零值原始時間戳檢驗不當的問題。
如果ntpd被配置為接收mrulist查詢請求,攻擊者則可以發送一個精心構造的mrulist查詢請求包,導緻ntpd崩潰,造成拒絕服務。
如果ntpd運作于在不同網絡使用多重接口的主機上,且作業系統對收到的資料包并不檢查來源位址的情況下,攻擊者可以僞造資料包的源位址,導緻ntpd無法和正确資料源同步。
在ntpd啟用速率限定的情況下,攻擊者可以周期性地發送帶有僞造源位址的資料包,阻止ntpd接收有效的nptd響應包。
先前對編号為ntp bug 2085的bug修複不正确,相關計算有誤。bug 2085引起的問題是時基誤差高于所期望的值。
詳情請見如下連結:
http://nwtime.org/ntp428p9_release/
在計算機的世界裡,時間非常地重要,例如對于火箭發射這種科研活動,對時間的統一性和準确性要求就非常地高,是按照a這台計算機的時間,還是按照b這台計算機的時間?ntp就是用來解決這個問題的,ntp(network time protocol,網絡時間協定)是用來使網絡中的各個計算機時間同步的一種協定。它的用途是把計算機的時鐘同步到世界協調時utc,其精度在區域網路内可達0.1ms,在網際網路上絕大多數的地方其精度可以達到1-50ms。(引用自《百度百科》)
截止到今天,我們統計全球範圍記憶體在此安全漏洞的裝置數量已經達到213,664個。這些受此漏洞影響的裝置數量最多的國家是加拿大,占全部的24.60%,其次是南韓,占20.09%,第三是美國,占16.77%,剩餘國家分别是俄羅斯聯邦、中國、巴西、日本、英國、德國、法國等。
top20國家的受此漏洞影響的裝置數量占全球總數的93%,其餘7%分散在其他國家和地區内。
圖1 受此漏洞影響的裝置全球分布圖
圖2 全球受此漏洞影響的分布國家top20占比
中國各省份及地區分布的受此漏洞影響的裝置總數量達13,157個。其中台灣地區所占數量最多,有3055台裝置受影響,其次是江蘇、北京、香港等地區。
top10省份的受此漏洞影響的裝置數量占中國總數的52%。其餘48%的數量分散于其他省份或地區内。
圖3 受此漏洞影響的裝置中國各省份及地區分布圖
圖4 受此漏洞影響的裝置中國top10省份排名
漏洞編号
受影響版本
不受影響版本
cve-2016-9311
ntp-4.0.90 <= nptd version < ntp-4.2.8p9
ntp-4.3.0 <= ntpd version < ntp-4.3.94
ntp-4.2.8p9;ntp-4.3.94
cve-2016-9310
cve-2016-7427
ntp-4.2.8p6 <= nptd version < ntp-4.2.8p9
cve-2016-7428
cve-2016-9312
nptd version < ntp-4.2.8p9
cve-2016-7431
ntp-4.2.8p8;ntp-4.3.93
cve-2016-7434
ntp-4.2.7p22 <= nptd version < ntp-4.2.8p9
cve-2016-7429
ntp-4.2.7p385 <= nptd version < ntp-4.2.8p9
cve-2016-7426
ntp-4.2.5p203 <= nptd version < ntp-4.2.8p9
cve-2016-7433
當運作在windows系統上的存在漏洞的ntpd服務程式接收到一個惡意請求包時,ntpd服務程式将會停止服務。此漏洞僅存在于windows系統的ntpd服務程式。ntpd服務程式在處理包含擴充字段的ntp請求包時存在缺陷,當擴充字段超長時,引發ntpd服務處理資料包錯誤,導緻ntpd服務終止。
測試步驟
ntpd服務正常運作在123端口,對外提供網絡授時服務。
圖5 ntpd監聽的端口
當向ntpd服務程式發送包含擴充字段的超長ntp請求包時,會引發其内部處理錯誤。
poc如下
#!/usr/bin/python3
from socket import *
from time import sleep
host = "192.168.xxx.xxx"
sock = socket(af_inet, sock_dgram)
for n in range(10):
raw = b"1234567890" + b"aaaaaaaaaa" * 1000
sock.sendto(raw, (host, 123))
sleep(1.0)
圖6 抓包資訊
通過windows事件管理器,可以看到具體錯誤資訊。同時在程序管理器中,ntpd程式已終止退出。
圖7 事件管理器
一個可被利用的拒絕服務漏洞存在于ntpd服務的trap功能中,當ntpd啟用trap功能時,攻擊者可以發送特制網絡資料包導緻空指針解引用,使得ntpd崩潰造成拒絕服務。
圖8 cve-2016-9311更新檔截圖
ntpd的控制模式(模式6)功能中存在可利用的配置修改漏洞。特制的控制模式可以設定ntpd的trap服務,造成資訊洩露和ddos,并可以取消設定ntpd陷阱,禁用合法監控。未經身份驗證的遠端網絡攻擊者可以觸發此漏洞。ntpd提供了一個trap功能,當發生感興趣的事件時,它會向多個“陷阱接收器”發送異步消息。 感興趣的示例事件包括:關關聯員和遣散,認證失敗,可達性改變等。
圖9 cve-2016-9310更新檔截圖
在patch資訊中,為trap的設定和取消都指定為auth
ntp廣播模式中存在拒絕服務漏。 ntp的broadcast模式僅在可信網絡中使用, 如果broadcast網絡可被攻擊者通路,則可以濫用ntpd的廣播模式重放阻止功能中的潛在可利用的拒絕服務漏洞。 具有通路ntp廣播域的攻擊者可以定期将特制廣播模式ntp資料包注入廣播域,在ntpd記錄時,可以導緻ntpd拒絕來自合法ntp廣播伺服器的廣播模式資料包。
ntp廣播模式中存在拒絕服務漏。 ntp的廣播模式預計僅在可信網絡中使用。 如果廣播網絡可被攻擊者通路,則可以濫用ntpd的廣播模式輪詢間隔實施功能中的潛在可利用的拒絕服務漏洞。 為了限制濫用,ntpd限制每個廣播關聯将處理傳入分組的速率。 ntpd将拒絕在前一個廣播包中指定的輪詢間隔到達之前到達的廣播模式包。 通路ntp廣播域的攻擊者可以将特制的廣播模式ntp包發送到廣播域,廣播域在通過ntpd進行日志記錄時将導緻ntpd拒絕來自合法ntp廣播伺服器的廣播模式包。
圖10 cve-2016-7428漏洞代碼截圖
官方已經釋出了版本更新,建議使用者更新到最新版本,下載下傳連結如下:
<a href="http://support.ntp.org/bin/view/main/softwaredownloads">http://support.ntp.org/bin/view/main/softwaredownloads</a>
本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部内容。未經綠盟科技允許,不得任意修改或者增減此安全公告内容,不得以任何方式将其用于商業目的。
原文釋出時間:2017年3月24日
本文由:綠盟科技釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/ntp-multiple-denial-of-service-vulnerabilities-cve-2016-9311
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站