Более 30 000 серверов NTP уязвимы, 4 300 из них находятся в России

ПредыдущаяСледующая

В конце декабря специалисты по безопасности из Google Security Team обнаружили ряд критических уязвимостей в реализации протокола NTP, который используется во многих промышленных системах управления для синхронизации времени на серверах.

Уязвимости, которым подвержены все NTP-сервера до версии 4.2.8, включают несколько вариантов переполнения буфера и позволяют атакующему удалённо выполнять произвольный код на сервере. Как отмечают исследователи, эксплойты для данных уязвимостей уже существуют в публичном доступе.

По данным Positive Technologies, использование открытых источников позволяет легко выявить более 30 000 серверов в интернет, до сих пор подверженных данной уязвимости. Причем 4300 из них расположены в российском сегменте сети Интернет.

На скриншоте ниже можно увидеть, как выглядит данная уязвимость NTP в одном из аудитов безопасности, который проводили с помощью системы контроля защищенности и соответствия стандартам MaxPatrol:

Рекомендации по устранению уязвимостей можно найти в уведомлении ICS-CERT, а также на сайте поддержки NTP. Основной совет - обновить NTP до версии 4.2.8 с официального сайта ntp.org. В случае невозможности обновления предлагается два способа блокировать атаки через настройки конфигурации:

  • Запретить Autokey Authentication путем удаления или комментирования всех тех строк файла ntp.conf, которые начинаются с директивы crypto.
  • Для всех недоверенных клиентов указать в файле /etc/ntp.conf директиву restrict … noquery, что не позволит недоверенным клиентам запрашивать информацию о статусе NTP-сервера.

Можно поступить и проще: отключить службу NTP на серверах и сетевых устройствах или отфильтровать ее на межсетевом экране, если внешний доступ к ней не требуется. Но если служба все же используется внешними клиентами, можно ограничить доступ к порту 123 списком доверенных IP-адресов.

Positive Technologies прогнозирует, что блокирование новых уязвимостей вряд ли будет происходить быстро. К примеру, в начале прошлого года по Интернету прокатилась мощная волна DDoS-атак с усилением через NTP. Во время такой атаки злоумышленники отправляют на NTP-сервер специальный запрос, а в качестве отправителя подставляют IP-адрес жертвы; NTP-сервер посылает на этот адрес вполне легитимный ответ, который может быть в несколько сот раз длиннее запроса - таким образом, сервер точного времени становится невольным усилителем атаки. Рекомендации CERT по защите от таких атак были опубликованы в январе прошлого года. Однако даже спустя полгода, в июне, насчитывалось ещё 17 тыс. уязвимых NTP-северов, причём многие из них продолжали участвовать в DDoS-атаках, усиливая мусорный трафик в сотни раз.

23 января 2015 Г.

13:38

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Mitsubishi разработала лучшую, по её мнению, автомобильную камеру, которая позволит избавиться от боковых зеркал: У Mitsubishi уже готова камера для замены боковых зеркал в машинах

Xiaomi расширила список смартфонов и планшетов, которые получат MIUI 9, доведя его до 40 устройств: Оболочку MIUI 9 получат более 40 моделей смартфонов и планшетов Xiaomi 4

На долю Apple, Samsung и LG пришлось 84% всех новых смартфонов, проданных в прошлом квартале: Apple лидирует на рынке США 4

Стартовало производство умных акустических систем Apple HomePod: Inventec наконец-то начала производство Apple HomePod9

AMD представила технологию FuzeDrive, которая может объединить в один виртуальный накопитель SSD, HDD и даже оперативную память: ПО AMD FuzeDrive стоит 20 долларов24

Курс Bitcoin опустился почти до 10 000 долларов (Обновлено): Курс Bitcoin снова сильно просел49

Аналитики Juniper Research уверены, что гибридные умные часы вскоре станут популярнее обычных: Гибридные умные часы могут заполонить рынок носимой электроники 14

Участники Зимних Олимпийских игр 2018 получат тематические смартфоны Samsung Galaxy Note8 PyeongChang 2018 Limited Edition : Смартфон получил белую заднюю панель со знаменитым логотипом Олимпиады и белый стилус22

Apple борется с HBO за права на новый фантастический сериал Джей Джей Абрамса: Apple может заполучить новый сериал Джей Джей Абрамса18

Смартфон Bluboo S3, который пытается копировать Samsung Galaxy S9+, получил аккумулятор емкостью 8300 мА•ч: А также поддержку технологии быстрой зарядки током 3 А при напряжении 9 В,8

Представлены наушники Meizu Live и Meizu Flow Bass: Корпус Meizu Live выполнен при помощи технологии порошковой металлургии из прозрачного поликарбоната с металлическими элементами

Представлен смартфон Meizu M6s, вобравший в себя множество новых для компании решений: Meizu M6s оценили в 155 долларов6

Смартфон Xiaomi Mi 7 будет представлен на MWC 2018 одновременно с Samsung Galaxy S9: В прошлом году стало известно, что Xiaomi и Qualcomm занимаются оптимизацией однокристальной системы Snapdragon 845 для Xiaomi Mi 71

Новый смартфон Huawei имеет экран с соотношением сторон 19:9: Смартфон получил экран разрешением 2280 х 1080 пикселей7

В Китае построили экспериментальный очиститель воздуха высотой 100 м: В Китае возвели гигантский очиститель воздуха19

Samsung зарегистрировала торговую марку Micro QLED: О телевизорах, в которых используется технология Micro QLED, производитель ничего не говорил7

Apple открывает 500-й фирменный магазин, который станет первым Apple Store на родине главного конкурента: Магазин откроется 27 января22

Смартфон Moto Z3 получит изогнутый шестидюймовый дисплей: Появились изображения Moto Z3 и Z3 Play3

Китай лидирует по объему использования смартфонов для оплаты товаров и услуг: Ожидается, что в 2018 году 77,5% пользователей смартфонов в Китае используют их для оплаты товаров и услуг2

Idmix Power Bank — самый быстрый проводной и беспроводной портативный аккумулятор: dmix Power Bank доступен в базовой версии емкостью 8000 мА•ч по цене 59 долларов на стадии предзаказа

Lenovo может вернуть бренд Zuk: Бренд Zuk просуществовал на рынке меньше двух лет, в течение которых было выпущено всего несколько смартфонов1

В 2018 году Foxconn отвоевала у Quanta Computer часть заказов на MacBook: Foxconn начнет массовое производство соответствующей продукции во втором квартале 2018 года2

Смартфон Moto X5 будет похож на iPhone X, а модели линейки Moto G6 примерят корпуса из стекла и металла: Появились изображения смартфонов Moto X5, Moto G6, G6 Plus и G6 Play20

OnePlus временно заблокировала возможность оплачивать товары в онлайн-магазине посредством карт: OnePlus отключила возможность оплаты картами в своём онлайн-магазине на время расследования

Одноплатный ПК Raspberry Pi Zero WH предлагает уже распаянные разъёмы GPIO: Одноплатный ПК Raspberry Pi Zero WH стоит 15 долларов2

Производительность GPU в SoC Snapdragon 670 практически равна производительности GPU в Snapdragon 820: Snapdragon 670 получит производительное графическое ядро11

Видеокарты снова сильно подорожали на фоне дефицита: Видеокарты AMD и Nvidia сильно подорожали52

Смартфон Cubot X18 Plus получил изогнутый дисплей и Android 8.0 Oreo из коробки: В продажу Cubot x18 Plus поступит в начале марте по очень привлекательной цене7

Смартфон Alcatel 3V получит «стеклянный» корпус, сдвоенную камеру, крупный экран и слабую платформу: Смартфон Alcatel 3V будет стоить 180 евро 2

194
-

iXBT TV

  • Обзор складной гладильной системы MIE Maxima: утюг, отпариватель для одежды и гладильная доска

  • Обзор недорогого Full HD DLP-проектора BenQ W1050 для домашнего кинотеатра

  • Процессор Intel с графикой AMD, экраны любой формы и размера

  • Критическая уязвимость Intel, разбор Apple iMac Pro, Dell XPS 13 стал тоньше

  • Обзор компактной беспроводной колонки JBL Playlist с поддержкой Chromecast

  • Обзор игрового IPS-монитора LG 34UM69G с соотношением сторон 21:9

  • Обзор блока питания Aerocool P7-750W Platinum с гибридной системой охлаждения

  • Apple специально замедляет старые iPhone, VR-революция, крошечный телефон

  • Обзор широкоугольного объектива Canon EF 35 mm F1.4L II USM

  • Обзор робота-пылесоса Kitfort KT-516 со сменными уборочными блоками

  • iMac Pro за $13 000, космический туризм, клавиатурные шпионы от HP

  • Обзор продвинутых сетевых накопителей QNAP D2 Pro и D4 Pro

Календарь

январь
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

-