Specjaliści znaleźli poważne luki w protokole NTP

Pracownicy ICS-CERT są zobowiązani do szybkiego reagowania na wszelkie zagrożenia cybernetyczne w dziedzinie przemysłowych systemów oprogramowania. Tym razem ich uwagę zwrócił poważny błąd ujawniony w użyciu protokołu NTP. Wersje 4.2.8 i niższe są podatne na takie ataki, w nowszych wersjach oprogramowania problem został pomyślnie rozwiązany. Również w badaniu problemu wiele pracy wykonali specjaliści z Google, którzy przeprowadzili głęboką analizę kilku systemów przemysłowych z protokołem NTP.

Oficjalny raport ICS-CERT informuje, że luka może zostać wykorzystana dzięki możliwości uruchomienia dowolnego kodu w ramach procesów ntpd. Ponieważ wymagane exploity są dostępne w wielu zasobach sieciowych, każdy może z nich skorzystać. Nie wymaga to żadnych specjalnych umiejętności hakerskich, wystarczy średni poziom wiedzy. Nie ujawniono faktów dotyczących wykorzystania luki.

Specjaliści z Google Neel Mehta i Stephen Roettger twierdzą, że trzy znalezione luki wykorzystują przepełnienie bufora. Dużym problemem jest również słabe losowe generowanie liczb przyjętych w NTP. Kolejna luka jest mniej krytyczna. Aktualizacja wymagała udoskonalenia klucza do generowania domyślnego przy użyciu bardziej zaawansowanego i trudniejszego do wykrycia algorytmu.

Jeśli chodzi o zalecenia dotyczące aktualizacji systemu, pracownicy ICS-CERT ostrzegają administratorów sieci, aby przetestowali poprawkę na osobnym komputerze, a także zminimalizowali interakcję z siecią. Zaleca się używanie zapór ogniowych, po wcześniejszym utworzeniu kopii zapasowej wszystkich danych, z którymi chcesz pracować. To samo dotyczy systemów sterowania stosowanych w dużych kompleksach przemysłowych.