Более 30 000 серверов NTP уязвимы, 4 300 из них находятся в России

1174

В конце декабря специалисты по безопасности из Google Security Team обнаружили ряд критических уязвимостей в реализации протокола NTP, который используется во многих промышленных системах управления для синхронизации времени на серверах.

Уязвимости, которым подвержены все NTP-сервера до версии 4.2.8, включают несколько вариантов переполнения буфера и позволяют атакующему удалённо выполнять произвольный код на сервере. Как отмечают исследователи, эксплойты для данных уязвимостей уже существуют в публичном доступе.

По данным Positive Technologies, использование открытых источников позволяет легко выявить более 30 000 серверов в интернет, до сих пор подверженных данной уязвимости. Причем 4300 из них расположены в российском сегменте сети Интернет.

На скриншоте ниже можно увидеть, как выглядит данная уязвимость NTP в одном из аудитов безопасности, который проводили с помощью системы контроля защищенности и соответствия стандартам MaxPatrol:

Рекомендации по устранению уязвимостей можно найти в уведомлении ICS-CERT, а также на сайте поддержки NTP. Основной совет - обновить NTP до версии 4.2.8 с официального сайта ntp.org. В случае невозможности обновления предлагается два способа блокировать атаки через настройки конфигурации:

  • Запретить Autokey Authentication путем удаления или комментирования всех тех строк файла ntp.conf, которые начинаются с директивы crypto.
  • Для всех недоверенных клиентов указать в файле /etc/ntp.conf директиву restrict … noquery, что не позволит недоверенным клиентам запрашивать информацию о статусе NTP-сервера.

Можно поступить и проще: отключить службу NTP на серверах и сетевых устройствах или отфильтровать ее на межсетевом экране, если внешний доступ к ней не требуется. Но если служба все же используется внешними клиентами, можно ограничить доступ к порту 123 списком доверенных IP-адресов.

Positive Technologies прогнозирует, что блокирование новых уязвимостей вряд ли будет происходить быстро. К примеру, в начале прошлого года по Интернету прокатилась мощная волна DDoS-атак с усилением через NTP. Во время такой атаки злоумышленники отправляют на NTP-сервер специальный запрос, а в качестве отправителя подставляют IP-адрес жертвы; NTP-сервер посылает на этот адрес вполне легитимный ответ, который может быть в несколько сот раз длиннее запроса - таким образом, сервер точного времени становится невольным усилителем атаки. Рекомендации CERT по защите от таких атак были опубликованы в январе прошлого года. Однако даже спустя полгода, в июне, насчитывалось ещё 17 тыс. уязвимых NTP-северов, причём многие из них продолжали участвовать в DDoS-атаках, усиливая мусорный трафик в сотни раз.

23 января 2015 Г.

13:38

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Доля iOS 11 снизилась впервые с момента выхода финальной версии ОС: iOS 11 установлена более чем на половину совместимых устройств спустя месяц после выхода1

В минувшем квартале через PayPal было переведено более 114 млрд долларов: Доход PayPal в третьем квартале 2017 года достиг 3,239 млрд долларов1

По оценке KGI, 3 ноября в магазинах окажется от 2 до 3 млн iPhone X: Минг-Чи Куо снизил прогноз по поставкам iPhone X в четвертом квартале с 30-35 млн до 25-30 млн единиц1

Система охлаждения Inno3D Jet-Fan предназначена для 3D-карт серии GeForce GTX 10XX : В Inno3D Jet-Fan входит пластина, закрепляемая на тыльной стороне печатной платы1

KFA2 готовит к выпуску свой вариант GeForce GTX 1070 Ti: В сети уже появились изображения 3D-карты KFA2 GTX 1070 Ti EX6

Опубликованы изображения смартфона OnePlus 5T : OnePlus 5T внешне кажется абсолютно новым смартфоном

Samsung намекает, что дополнительный налог на ее стиральные машинки негативно отразится на новом американском заводе компании: Samsung заявила, что подобные ограничения могут снизить количество запланированных новых рабочих мест2

Зарядку электрических мотоциклов Zero удалось ускорить в шесть раз: Модели Zero S и DS ZF7.2 «заправляются» всего за час7

Потребительские процессоры Intel Cannon Lake будут поддерживать набор команд AVX-512: CPU Intel Cannon Lake и Ice Lake получат поддержку AVX-5124

Введена в строй крупнейшая ветряная электростанция Amazon: Электростанция насчитывает более 100 турбин32

Гарнитура смешанной реальности Samsung HMD Odyssey не выйдет на рынок Европы: В США Samsung HMD Odyssey в комплекте с двумя контроллерами будет предлагаться по цене 499 долларов1

Игровой монитор Benq Zowie XL2536 поддерживает технологию DyAc: В мониторе Benq Zowie XL2536 используется жидкокристаллическая панель разрешением Full HD1

Испытания блогера JerryRigEverything показали, что смартфон Google Pixel 2 имеет ряд особенностей: Смартфон Google Pixel 2 лучше не гнуть1

LG Innotek вошла в состав международной ассоциации CharIN: LG Innotek начала производство комплектующих для автомобильного рынка еще в 2005 году

Xiaomi предлагает умный дверной замок за $256: Дактилоскопический датчик распознает отпечатки пальцев людей в возрасте от 7 до 70 лет с вероятностью ошибки 0,0005%16

Мини-ПК MSI Cubi 3 Silent будут оснащены пассивной системой охлаждения и CPU Intel Kaby Lake: MSI готовит мини-ПК Cubi 3 Silent4

Владельцы Samsung Galaxy S8 и Note8 смогут работать с Linux: В настоящий момент Linux on Galaxy проходит стадию тестирования29

Шасси Streacom BC1 Mini предназначено для малогабаритных систем : Шасси из алюминия весит 805 г4

Система для самоуправляемых автомобилей, создаваемая Apple, представляет собой отдельный блок: Блок, создаваемый в рамках проекта Project Titan, размещается на крыше машины5

Безрамочный смартфон HomTom S9 Plus будет доступен за $160: Смартфон поддерживает режим HDR, панорамную съемку и портретный режим с размытием фона

В Южной Корее создана первая в мире система для липосакции, в которой хирургу помогает искусственный интеллект: Система M.A.I.L создана в сотрудничестве с Microsoft 1

Представлен планшет Chuwi SurBook Mini: Устройство может работать под управлением операционных систем Windows 10 и Ubuntu

General Motors первой начнёт испытания беспилотных машин в Нью-Йорке: В следующем году на улицах Нью-Йорка появятся прототипы беспилотных машин1

Портативные акустические системы Ultimate Ears Blast и Megablast не боятся воды и поддерживают Amazon Alexa: Ultimate Ears Blast и Megablast оцениваются в 230 и 300 долларов соответственно 3

997
1318

iXBT TV

  • Обзор беззеркальной фотокамеры Fujifilm X-A10 формата APS-C со сменными объективами

  • Планшеты для подводного чтения, дешевый безрамочный смартфон и автономная VR-гарнитура

  • Обзор 3D-принтера Funtastique Evo: дешевая, но вполне функциональная DIY-модель

  • Обзор робота-пылесоса Polaris PVCR 0920WV Rufer с функцией влажной протирки полов

  • Новинки Google на любой вкус: Pixel 2, Pixel 2 XL, Pixelbook, Clip, Home Mini и Max

  • Обзор водонепроницаемого бинокля Canon 10x42L IS WP с оптическим стабилизатором

  • Обзор компактного вертикального пылесоса Kitfort КТ-525

  • Обзор 15-дюймового игрового ноутбука MSI GE63VR 7RF Raider 4K с 4K-экраном

  • Ракета вместо самолета, умные AC Amazon, робот-мяч

  • Обзор парогенератора MIE Stiro Pro для глажки, отпаривания и уборки дома

  • Обзор изогнутого 37,5-дюймового IPS-монитора Acer XR382CQK с соотношением сторон 21:9

  • Обзор робота-полотера Everybot RS500

1212

Календарь

январь
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

Рекомендуем почитать