Более 30 000 серверов NTP уязвимы, 4 300 из них находятся в России

1174

В конце декабря специалисты по безопасности из Google Security Team обнаружили ряд критических уязвимостей в реализации протокола NTP, который используется во многих промышленных системах управления для синхронизации времени на серверах.

Уязвимости, которым подвержены все NTP-сервера до версии 4.2.8, включают несколько вариантов переполнения буфера и позволяют атакующему удалённо выполнять произвольный код на сервере. Как отмечают исследователи, эксплойты для данных уязвимостей уже существуют в публичном доступе.

По данным Positive Technologies, использование открытых источников позволяет легко выявить более 30 000 серверов в интернет, до сих пор подверженных данной уязвимости. Причем 4300 из них расположены в российском сегменте сети Интернет.

На скриншоте ниже можно увидеть, как выглядит данная уязвимость NTP в одном из аудитов безопасности, который проводили с помощью системы контроля защищенности и соответствия стандартам MaxPatrol:

Рекомендации по устранению уязвимостей можно найти в уведомлении ICS-CERT, а также на сайте поддержки NTP. Основной совет - обновить NTP до версии 4.2.8 с официального сайта ntp.org. В случае невозможности обновления предлагается два способа блокировать атаки через настройки конфигурации:

  • Запретить Autokey Authentication путем удаления или комментирования всех тех строк файла ntp.conf, которые начинаются с директивы crypto.
  • Для всех недоверенных клиентов указать в файле /etc/ntp.conf директиву restrict … noquery, что не позволит недоверенным клиентам запрашивать информацию о статусе NTP-сервера.

Можно поступить и проще: отключить службу NTP на серверах и сетевых устройствах или отфильтровать ее на межсетевом экране, если внешний доступ к ней не требуется. Но если служба все же используется внешними клиентами, можно ограничить доступ к порту 123 списком доверенных IP-адресов.

Positive Technologies прогнозирует, что блокирование новых уязвимостей вряд ли будет происходить быстро. К примеру, в начале прошлого года по Интернету прокатилась мощная волна DDoS-атак с усилением через NTP. Во время такой атаки злоумышленники отправляют на NTP-сервер специальный запрос, а в качестве отправителя подставляют IP-адрес жертвы; NTP-сервер посылает на этот адрес вполне легитимный ответ, который может быть в несколько сот раз длиннее запроса - таким образом, сервер точного времени становится невольным усилителем атаки. Рекомендации CERT по защите от таких атак были опубликованы в январе прошлого года. Однако даже спустя полгода, в июне, насчитывалось ещё 17 тыс. уязвимых NTP-северов, причём многие из них продолжали участвовать в DDoS-атаках, усиливая мусорный трафик в сотни раз.

23 января 2015

13:38

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Начался выпуск контроллеров Silicon Motion SM2262EN, SM2262, SM2263 и SM2263XT, предназначенных для SSD с поддержкой NVMe 1.3: Общей чертой контроллеров SM2262EN, SM2262, SM2263 и SM2263XT является интерфейс PCIe Gen3 x4

Приложение Microsoft Surface научилось показывать уровень заряда аккумуляторов периферийных устройств, подключенных по Bluetooth : Помимо этого, в новой версии исправлены некоторые ошибки3

Кроссовер Volvo XC60 получил накладку на панорамную крышу для наблюдения за солнечным затмением: Накладка получила магнитный каркас, который надежно прикрепляется к крыше автомобиля12

Пятикилограммовая портативная АС JBL Boombox работает без подзарядки 24 часа: Цена колонки составит около 515 долларов23

Смартфон ZTE TL99 с камерой разрешением 20 Мп появился в базе данных TENAA: Основой устройства служит неназванная однокристальная система с четырехъядерным процессором2

Ассортимент Xilence Technology пополнили блоки питания серии Performance X: Блоки питания Xilence Performance X снабжены защитой от разнообразных нештатных ситуаций

Рекламная брошюра Samsung Galaxy Note 8 подтверждает информацию о возможностях устройства: Samsung Galaxy Note 8 представят 23 августа

Отделы исследований и разработок Samsung и LG получат в этом году рекордные суммы : Затраты на исследования и разработки Samsung и LG за первые шесть месяцев года составили 7,1% и 6,9% от доходов компаний соответственно7

BlackBerry прислушалась к критике и усилила конструкцию смартфона Keyone: BlackBerry усилила смартфон Keyone2

Bluboo S2 станет первым безрамочным смартфоном с четырьмя камерами и оптическим дактилоскопическим датчиком: Соотношение сторон экрана составит 18:9, он будет занимать 91,6% площади лицевой панели6

Аналитики Juniper Research назвали три страны, которые будут лидерами внедрения 5G: По прогнозу Juniper Research, к 2025 году число подключений 5G достигнет 1,4 млрд 5

Новое поколение Apple Watch поможет компании продать 20 млн умных часов в следующем году: Apple сможет существенно нарастить продажи умных часов1

Обновлена серия вентиляторов Noctua IndustrialPPC, рассчитанных на напряжение питания до 24 В: В новых моделях используется микросхема драйвера NE-FD42

Подтверждены цены и параметры смартфона YotaPhone 3: YotaPhone 3 будет стоить от 360 до 480 долларов7

Для Lenovo минувший квартал оказался убыточным, хотя средняя цена ПК и планшетов выросла: Компания Lenovo отчиталась за первый квартал 2017/2018 финансового года1

Дизайнер Xiaomi Mi Mix 2 показал, как будет выглядеть новый безрамочный смартфон: По слухам, новинка может выйти в сентябре6

В AnTuTu доминируют смартфоны с SoC Snapdragon 835: iPhone 7 Plus, который был свергнут с позиции лидера в мае этого года, переместился уже на шестую строчку3

Опубликованы фотографии беспроводных ЗУ для новых смартфонов iPhone: Ожидается, что все три новых смартфона iPhone получат поддержку беспроводной зарядки26

Опубликованы характеристики SoC Kirin 970: Новая однокристальная система будет поддерживать сдвоенные камеры с максимальным разрешением до 42 Мп4

Смартфон Meizu M6 Note может получить влагозащищенный корпус: Версия с 4 ГБ ОЗУ будет стоить около $2351

На карте расширения Alphacool HDX5 расположен контроллер RAID, два слота M.2 и два порта SATA, а в комплект входят два радиатора: C помощью Alphacool HDX5 накопители можно объединять в массив RAID 0 или 117

Модули памяти Galax DDR4-4133 HOF Extreme Limited Edition с хромированными радиаторами выпущены очень небольшой партией: Комплекты суммарным объемом 16 ГБ включают по два модуля DDR4-41336

В Apple изобрели акустическую систему в виде массива излучателей, учитывающую местонахождение слушателя: Заявки на патенты уже поданы27

Доход Alibaba Group в прошлом квартале превысил 7,4 млрд долларов: Чистая прибыль Alibaba Group — 2,070 млрд долларов

Samsung добавила своим умным телевизорам поддержку ПО Shazam: Shazam теперь работает и на умных телевизорах Samsung7

Водоблок Alphacool Eisblock Flatboy предназначен для процессоров AMD Ryzen Threadripper : Пока изделие находится в стадии прототипа3

Фотогалерея дня: смартфон Samsung Galaxy Note8 предстал на «живых» снимках: Samsung Galaxy Note8 позирует живьём9

Asus обновит до Android O все смартфоны семейств ZenFone 4 и ZenFone 3: Смартфоны Asus ZenFone 3 тоже получат Android O3

ВИКТОРИНА ASUSTOR

Процессор с какой архитектурой установлен в ASUSTOR AS6302T, благодаря которому производительно выросла на 30% по сравнению с прошлым поколением?
1318

iXBT TV

  • Обзор беззеркальной фотокамеры Fujifilm X-T20

  • Обзор кинотеатрального DLP-проектора BenQ W11000 с эмуляцией разрешения 4К

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

  • 3D-карты AMD Radeon RX Vega, цены, спецификации, смартфон Meizu Pro 7

  • Обзор лазерного цветного МФУ Canon imageRunner Advance C3520i, младшего в новой линейке

  • Обзор робота-пылесоса iBoto Aqua V710 с функцией влажной уборки

  • Обзор электрической скороварки Unit USP-1090D: готовим под давлением

1212

Календарь

январь
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

Рекомендуем почитать