La lista de vulnerabilidades encontradas es muy amplia, pero según ntp.org, el encargado de gestionar el protocolo NTP y de mantener los servidores para que el resto de dispositivos de Internet se sincronicen, estas vulnerabilidades son de gravedad baja a media.
Una de las vulnerabilidades más destacables está relacionado con el filtrado de paquetes del rango de red 192.0.0.0/8 podría permitir a un atacante que envíe paquetes falsificados modificar el reloj del sistema atacado. Al modificar su reloj, posteriormente se podrían realizar ataques Man In The Middle para descifrar el tráfico HTTPS, aunque las páginas web tengan habilitado HSTS ya que tienen en cuenta el tiempo. Otro aspecto que debemos destacar, es que si por ejemplo cambiamos la fecha a un año hacia atrás haría que el sistema aceptase certificados de seguridad ya revocados, cuya clave privada podría estar comprometida y de esta forma capturar todo el tráfico. Este fallo de seguridad también afectaría a servicios de autenticación como Kerberos o Active Directory, ya que dependen de un reloj en hora para su correcto funcionamiento. A este fallo de seguridad se le ha proporcionado un identificador CVE-2016-1551.
Otra vulnerabilidad muy importante tiene como identificador CVE-2016-1550, este fallo permitiría a un atacante descubrir el valor de la clave compartida por un ataque de fuerza bruta el hash MD5 y examinar el tiempo de los paquetes de crypto-NAK devueltos, una vez conocida esta clave, el atacante podría enviar paquetes NTP que serán autenticados como válidos.
Otro ataque que se podría realizar es contra el proceso ntpd que es vulnerable ante ataques Sybil, este fallo de seguridad tiene identificador CVE-2016-1549 que permitirían la creación de múltiples asociaciones P2P y facilitar la falsificación del reloj del sistema. También se podría forzar a un cliente NTPd que cambie del modo cliente-servidor básico a simétrico, algo que podría permitir a un atacante a cambiar el reloj y también a realizar una denegación de servicio. Este último fallo de seguridad tiene como identificador CVE-2016-1548.
El escenario más grave y preocupante para la seguridad de los equipos es que se podría obligar a un ordenador aceptar un certificado de seguridad que estuviera caducado, por lo que un ataque Man-in-the-Middle sin que el usuario se entere de qué está sucediendo es posible. Otros ataques que se podrían realizar es contra HSTS (HTTP Strict Transport Security), rechazar entregas legítimas de Bitcoins e incluso alterar los sistemas de autenticación de los sitios web de Bitcoin.
El equipo de desarrollo de NTPd ha lanzado una nueva versión 4.2.8p7 que tenemos disponibles en su página web oficial. Os recomendamos leer el aviso de seguridad de NTP y también este artículo donde se explica detalladamente estos fallos de seguridad recién encontrados.
Recomendamos visitar este artículo de Arstechnica (inglés) donde se encuentran todos los detalles sobre estas debilidades en NTP, y leer este estudio técnico a NTP con los detalles técnicos.
Fuente: Redes Zone
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!