Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/12/2014
Múltiples vulnerabilidades en NTP
La versión NTP 4.2.7 y anteriores están afectadas por una vulnerabilidad que puede permitir a un atacante ejecutar código malicioso, adicionalmente las versiones referidas también utilizan un generador de números aleatorios no criptográfico para generar claves, las cuales son criptográficamente débiles, entre otras.Network Time Protocol (NTP) proporciona a los sistemas en red con una mecanismo para sincronizar la hora de los diferentes servicios y aplicaciones. La implementación de referencia en los principales sistemas, elaborada por el Proyecto NTP (ntp.org) contiene varias vulnerabilidades.
CWE-332: Entropía insuficiente en PRNG – CVE-2014-9293
Si no se fija una clave de autenticación propia en el archivo de ntp.conf, se genera una clave de forma predeterminada que es criptográficamente débil.
CWE-338: Uso de un número criptográficamente débil Pseudo-Random Generator (PRNG) - CVE-2014-9294
El módulo ntp-keygen empleado en versiones previas a la 4.2.7p230 utiliza un generador de números aleatorios no criptográfico con una semilla débil para generar claves simétricas.
CWE-121: Desbordamiento de pila - CVE-2014-9295
Un atacante remoto no autenticado podría enviar paquetes especialmente preparados que podrían provocar desbordamientos de búfer en crypto_recv funciones ntpd () (al utilizar la autenticación autoclave), ctl_putdata () y configure (). Este ataque le podría permitir ejecutar código malicioso arbitrario que se ejecutará con privilegios del proceso ntpd.
CWE-389: Condiciones de error, los valores de retorno, Códigos de estado - CVE-2014-9296
Una sección de código en ntpd maneja inadecuadamente un error poco frecuente por la falta de una sentencia return; por lo que el proceso no se detiene. Esta situación puede ser empleada por un atacante para explotar un sistema.
Sistemas Afectados:Todas las versiones de NTP inferiores a la 4.2.8. Puesto que esta solución la implementan muchos proveedores, facilitamos un listado de los proveedores confirmados.
Proveedores afectados (confirmados):
- Apple
- FreeBSD Project
- Huawei Technologies
- NTP Project
- OmniTI
- Watchguard Technologies, Inc.
Existe una gran cantidad de proveedores que emplean NTP para los cuales no se ha confirmado la vulnerabilidad (entre los que destacan Microsoft y prácticamente todas las distribuciones de Linux), se recomienda estar al corriente de las posibles actualizaciones de seguridad y avisos que se puedan emitir.
Referencias:CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296
Solución:Se ha publicado una actualización de seguridad que subsana estos problemas (NTP 4.2.8). La actualización puede descargarse desde la web del proyecto (ntp.org). La mayoría de los operativos afectados confirmados han publicado actualizaciones de seguridad, por lo que se recomienda actualizarlos para subsanar el problema.
Notas:http://support.ntp.org/bin/view/Main/SecurityNotice
http://lists.ntp.org/pipermail/announce/2014-December/000122.html
http://support.ntp.org/bin/view/Support/AccessRestrictions#Section_6.5.2
http://www.ntp.org/downloads.html
http://www.ntp.org/ntpfaq/NTP-s-algo-crypt.htm
https://ics-cert.us-cert.gov/advisories/ICSA-14-353-01