CERT RENATER
Nous contacter
- Mail : cert@support.renater.fr
- Web : Pages du CERT
- Tél : 01.53.94.20.44
- Fax : 01.53.94.20.31
==================================================================== Message d'alerte du CERT-Renater (certsvp@renater.fr) ===================================================================== Bonjour, Depuis la fin 2013, de nombreux observateurs ont fait état de nombreuses attaques en déni de service impliquant des serveurs NTP ou serveurs de temps, sur lesquels la fonctionnalité "monlist" est accessible à tous. Cette fonctionnalité, utile pour récupérer une vue de la charge du service, est actuellement détournée par des personnes malveillantes afin d'amplifier des attaques en déni de service. En effet, ce service utilise le protocole UDP. Il est donc possible, très facilement, d'envoyer à un serveur des requêtes avec une fausse adresse de requérant, celle de la cible de l'attaque. Avec un simple paquet d'attaque, l'attaquant peut obtenir l'envoi d'un volume de données multiplié par un facteur qui est fonction de l'importance du serveur de temps utilisé pour amplifier l'attaque. Les versions de serveurs NTP vulnérables à ce problème sont celles qui sont antérieures à 4.2.7p26. Les spécialistes recommandent de passer au moins à cette version dans laquelle la fonction monlist a été remplacée par mrunlist qui implémente un contrôle permettant de s'assurer de la légitimité de la requête. Actuellement nous observons des attaques de déni de service par amplification de flux NTP depuis de nombreux serveurs de notre communauté. Les effets de cette attaque par amplification provoquent une augmentation parfois importante des débits en sortie des établissements hébergeant ces serveurs, bien qu'ils ne soient pas la cible de l'attaque. Si la mise à jour n'est pas tout de suite envisagée, l'ajout de restrictions sur les serveurs pour qu'ils ne répondent plus à ces requêtes permet d’empêcher ce deni de service par amplification. Concernant l'attaque en question, l'ajout de la directive noquery dans le fichier de configuration ntp.conf permet de bloquer la requête monlist. La nouvelle configuration de restrictions a utiliser pour le demon ntpd est: restrict -4 default kod nomodify notrap nopeer noquery Il est cependant possible d'ajouter dans sa configuration des directives permettant d'autoriser cette fonctionnalité pour les ordinateurs de votre réseau qui en auraient besoin. Pour se protéger, on peut aussi prendre en considération que de nombreux équipements, auxquels on ne songe pas forcément de prime abord, hébergent des serveurs NTP: des routeurs, hyperviseurs, serveurs NAS par exemple. Dans le cas où ce service n'est pas utilisé pour synchroniser des établissements extérieurs, il est recommandé de limiter l'accès à celui-ci aux seules adresses internes. Un scan de vos plages d'adresses internes vous permettra d'identifier tous les services NTP actifs dans votre périmètre. Pour en savoir plus: https://labs.ripe.net/Members/mirjam/ntp-reflections http://www.bortzmeyer.org/ntp-reflexion.html Modèles de configuration sécurisée du réseau et du service ntpd : http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html Bulletin de sécurité NTPd : http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using Article du CERT Lituanien https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks Article du CERT.org Américain Vulnerability Note VU#348126 "NTP can be abused to amplify denial-of-service attack traffic" http://www.kb.cert.org/vuls/id/348126 Cordialement, ========================================================= Serveur de référence du CERT-Renater https://services.renater.fr/ssi/ ========================================================== + CERT-RENATER | tel : 01-53-94-20-44 + + 23 - 25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email: certsp@renater.fr + ========================================================== [An attachment of type application/pkcs7-signature was included here]