Avis du CERT RENATER

Par défaut, cette page vous affichera les derniers messages envoyés par le CERT RENATER à la communauté. Vous pouvez affiner par année ou par type de message. Si aucun critère n'est précisé, seuls les derniers messages sont affichés
Date : Thu, 13 Feb 2014 15:15:25 +0100
Type : ALER
Sujet : CERT-Renater : 2014/ALER001 Attaques de Déni de service par amplification NTP
====================================================================

       Message d'alerte du CERT-Renater (certsvp@renater.fr)

=====================================================================


Bonjour,


Depuis la fin 2013, de nombreux observateurs ont fait état de nombreuses
attaques en déni de service impliquant des serveurs NTP ou serveurs de
temps, sur lesquels la fonctionnalité "monlist" est accessible à tous.

Cette fonctionnalité, utile pour récupérer une vue de la charge du
service, est actuellement détournée par des personnes malveillantes
afin d'amplifier des attaques en déni de service.

En effet, ce service utilise le protocole UDP. Il est donc possible,
très facilement, d'envoyer à un serveur des requêtes avec une fausse
adresse de requérant, celle de la cible de l'attaque.

Avec un simple paquet d'attaque, l'attaquant peut obtenir l'envoi d'un
volume de données multiplié par un facteur qui est fonction de
l'importance du serveur de temps utilisé pour amplifier l'attaque.

Les versions de serveurs NTP vulnérables à ce problème sont celles
qui sont antérieures à 4.2.7p26. Les spécialistes recommandent de passer
au moins à cette version dans laquelle la fonction monlist a
été remplacée par mrunlist qui implémente un contrôle permettant de
s'assurer de la légitimité de la requête.

Actuellement nous observons des attaques de déni de service par
amplification de flux NTP depuis de nombreux serveurs de notre communauté.

Les effets de cette attaque par amplification provoquent une
augmentation parfois importante des débits en sortie des
établissements hébergeant ces serveurs, bien qu'ils ne soient
pas la cible de l'attaque.


Si la mise à jour n'est pas tout de suite envisagée, l'ajout de
restrictions sur les serveurs pour qu'ils ne répondent plus à ces
requêtes permet d’empêcher ce deni de service par amplification.

Concernant l'attaque en question, l'ajout de la directive noquery
dans le fichier de configuration ntp.conf permet de bloquer la
requête monlist.

La nouvelle configuration de restrictions a utiliser pour le demon
ntpd est:


      restrict -4 default kod nomodify notrap nopeer noquery


Il est cependant possible d'ajouter dans sa configuration des
directives permettant d'autoriser cette fonctionnalité pour
les ordinateurs de votre réseau qui en auraient besoin.

Pour se protéger, on peut aussi prendre en considération que de
nombreux équipements, auxquels on ne songe pas forcément de prime
abord, hébergent des serveurs NTP: des routeurs, hyperviseurs,
serveurs NAS par exemple. Dans le cas où ce service n'est pas utilisé
pour synchroniser des établissements extérieurs, il est recommandé de
limiter l'accès à celui-ci aux seules adresses internes. Un scan de
vos plages d'adresses internes vous permettra d'identifier tous les
services NTP actifs dans votre périmètre.


Pour en savoir plus:

https://labs.ripe.net/Members/mirjam/ntp-reflections
http://www.bortzmeyer.org/ntp-reflexion.html

Modèles de configuration sécurisée du réseau et du service ntpd :
http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html

Bulletin de sécurité NTPd :
http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using

Article du CERT Lituanien
https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks

Article du CERT.org Américain
Vulnerability Note VU#348126
"NTP can be abused to amplify denial-of-service attack traffic"
http://www.kb.cert.org/vuls/id/348126



 Cordialement,

=========================================================
Serveur de référence du CERT-Renater
https://services.renater.fr/ssi/
==========================================================
+ CERT-RENATER          | tel : 01-53-94-20-44           +
+ 23 - 25 Rue Daviel    | fax : 01-53-94-20-41           +
+ 75013 Paris           | email: certsp@renater.fr       +
==========================================================

[An attachment of type application/pkcs7-signature was included here]