The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.10.2015 13:51  Новая атака на NTP позволяет воспользоваться просроченными сертификатами

Группа исследователей из Бостонского университета разработала серию новых методов атаки (PDF) на клиентские и серверные системы, использующие протокол NTP для синхронизации времени без применения аутентификации. Проблемы проявляются в пакете ntpd и устранены в выпущенной вчера версии 4.2.8p4 (всего исправлено 13 уязвимостей). Большинство выявленных уязвимостей позволяют осуществить отказ в обслуживании и заблокировать процесс синхронизации времени. Две проблемы дают возможность добиться установки фиктивного времени.

В частности, проблема с обработкой фрагментированных IPv4-пакетов позволяет атакующему сместить показания системных часов на произвольное время в прошлое, направив на систему жертвы поток специально оформленных NTP-пакетов. Для успешного проведения атаки NTP-сервер должен принимать запросы PMTU (Path MTU Discovery) для фрагментирования пакетов с их приведением к MTU в 68 байт. Проверить свои системы на наличие уязвимости можно через данную форму.

На первый взгляд изменение показания часов выглядит безобидной шалостью, но на деле может применяться для совершения комплексных атак на системы шифрования. В частности, смещение времени позволяет организовать работу с просроченными или изъятыми TLS-сертификатами, обойти проверки DNSSEC, игнорировать ограничения HSTS и инициировать отклонение легитимных записей в цепочке криптовалюты Bitcoin.

Например, атакующий может сместить время на системе жертвы на середину 2014 года и воспользоваться одним из ста тысяч отозванных сертификатов, скомпрометированных в результате уязвимости Heartbleed, или перевести часы на 2008 год и применить сертификат, выписанный без достаточной энтропии на системах с проблемным пакетом OpenSSL в Debian. Также можно воспользоваться смещением времени для использования подобранных 1024-разрядных ключей RSA на сайтах уже отозвавших ненадёжные RSA-сертификаты.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Представлен NTP-сервер Ntimed, который будет развиваться параллельно с NTPD
  3. OpenNews: Проект OpenBSD выпустил переносимую редакцию OpenNTPD
  4. OpenNews: В ntpd выявлена уязвимость, которая может привести к удалённому выполнению кода
  5. OpenNews: DDoS-атака в 400 Гбит/с была совершена с привлечением всего 4529 NTP-серверов
  6. OpenNews: Метод определения RSA-ключей через анализ изменения разности потенциалов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ntp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 14:03, 22/10/2015 [ответить] [смотреть все]     [к модератору]
  • +/
    А просроченные сертификаты не удаляются и хранятся вечно, и их можно использоват... весь текст скрыт [показать]
     
     
  • 2.2, Аноним, 14:10, 22/10/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +14 +/
    Их обычно выбрасывают на помойку, вместе с закрытым ключем, там-то злоумышленник может их достать, отмыть, просушить, разгладить и потом использовать в своих корыстных целях, атакуя NTP.
     
     
  • 3.13, Ytch, 23:26, 22/10/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    И всё из-за лени Ведь по правилам сертификаты и закрытые ключи должны выбрасыва... весь текст скрыт [показать]
     
  • 2.3, Олег, 14:10, 22/10/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Просто сменить дату не получиться, так как слетит подпись сертификата
     
     
  • 3.4, Аноним, 14:12, 22/10/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Подпись можно цианокрилатным обратно приклеить, никто не заметит.
     
  • 1.5, Аноним, 14:41, 22/10/2015 [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Вообще операционным системам стоило бы защищаться от подобного например иметь на... весь текст скрыт [показать]
     
     
  • 2.6, наме, 16:04, 22/10/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    и что вредоносу помешает отключить эту функцию?
     
     
  • 3.7, Alexey, 16:19, 22/10/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Просто не обязательно делать отключение функции через NTP сервер Это спасет от ... весь текст скрыт [показать]
     
  • 3.8, Sluggard, 16:55, 22/10/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Новость про атаку на NTP, с помощью отсылки специальных пакетов Какие ещё вредо... весь текст скрыт [показать]
     
  • 2.9, Аноним, 17:30, 22/10/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Ну и зачем это решать на уровне операционной системы Когда это нужно решать на ... весь текст скрыт [показать] [показать ветку]
     
  • 2.19, cmp, 18:46, 23/10/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Проще запретить общаться с теми у кого mtu < 1200, хотя тоже костыль, но инорить время bios и устанавливать свое смещение - пахнет новыми дырами, в конце концов пролема сетевая и решаться должна сетевым стеком, практика показывает, что бить гвозди микроскопом не эффективно.
     
  • 1.10, анонимус, 18:13, 22/10/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Как? ntpd ведь может менять время лишь в маленьком промежутке. вроде как +-час или меньше.
     
     
  • 2.12, Аноним, 22:14, 22/10/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Года складываются из секунд.
     
  • 2.14, Ytch, 23:34, 22/10/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > Как? ntpd ведь может менять время лишь в маленьком промежутке. вроде как
    > +-час или меньше.

    Когда выставляешь время на наручных часах, то тоже обычно с одного нажатия не получается поставить нужное.

     
     
  • 3.16, pavlinux, 00:51, 23/10/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А ты не крути так быстро бобышку.
     
  • 1.11, oooops, 20:38, 22/10/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    кто копал глубже?
    chrony тоже уязвим?
    есть возможность защититься от атак 1-2 без обновления ntpd?
     
     
  • 2.17, Аноним, 01:20, 23/10/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    И вообще остальные реализации NTP!?
     
  • 1.15, pavlinux, 00:49, 23/10/2015 [ответить] [смотреть все]     [к модератору]  
  • +/
    Долдпайопы https ntp org downloads html http i58 fastpic ru big 2015 1023 2... весь текст скрыт [показать]
     
  • 1.18, Michael Shigorin, 15:13, 23/10/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    > Группа исследователей из Бостонского университета разработала серию

    Вот на этой первой строчке запись в RSS и обрывается.

    > новых методов атаки

     
  • 1.20, Аноним, 00:35, 24/10/2015 [ответить] [смотреть все]     [к модератору]  
  • +/
    Ещё один повод переползать на OpenNTPD, в котором как раз добавили защиту посред... весь текст скрыт [показать]
     
     
  • 2.21, Andrey Mitrofanov, 10:25, 26/10/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > Ещё один повод переползать на

    На NTPsec! http://esr.ibiblio.org/?p=6881 c esr-ами и cmake^Wscons^Wwaf-ами.  </ждать!>

    >OpenNTPD, в котором как раз добавили

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor