Se
ha anunciado una vulnerabilidad en el protocolo
NTP (Network Time Protocol) particularmente
grave que permite realizar cambios arbitrarios en el reloj del sistema.
NTP es un
protocolo estándar para la sincronización de relojes de máquinas
interconectadas a través de redes de datos, en particular Internet. Este
protocolo permite que el reloj de un sistema mantenga una gran precisión,
independientemente de su calidad intrínseca y de las condiciones de la red.
Este protocolo y especialmente su
implementación estándar, la proporcionada por NTF (Network Time Foundation), ha
estado en el punto de mira estos dos últimos años, descubriéndose
vulnerabilidades graves como la
ejecución de código o la no
validación de la autenticación de los paquetes.
La vulnerabilidad más grave de
las descubiertas esta semana permite a un atacante emparejarse con un cliente
sin autenticación, con lo que puede cambiar
la hora del cliente. Este error se debe a un error en el manejo de paquetes
crypto-NAK especialmente diseñados, que pasan ciertas comprobaciones que no
deberían y terminan estableciendo una asociación confiada. Si se usan en el
ataque más servidores maliciosos que servidores legítimos, se puede convencer
al cliente para que modifique su reloj.
A priori, no parece importante
que se pueda modificar el reloj de un sistema. Sin embargo, tiene consecuencias
indirectas sobre otras funcionalidades. Por ejemplo, cambiar la fecha a un año atrás haría al sistema aceptar certificados
ya revocados con la clave privada comprometida, lo que permitiría realizar
un ataque de suplantación de identidad. Además de afectar a servicios de
autenticación como Kerberos y Active Directory, que dependen de un reloj en
hora para su correcto funcionamiento.
 |
| ¿Habíais visto este reloj antes? |
Es por esto que NTP.org ha anunciado
la salida de la versión
4.2.8.p4, que corrige 13 vulnerabilidades. Entre ellas se encuentra la más
grave de las citadas anteriormente, con CVE CVE-2015-7871, que ha sido bautizada
como "NAK to the Future",
por coincidir su publicación con la fecha en la que Doc y Marty McFly llegan al
futuro en la película "Regreso al
futuro" (Back to the Future).
A vueltas con la fecha y aprovechando
el recurso, ha parecido muy apropiado la presentación de un resumen de los ataques NTP
realizado por investigadores de la Universidad de Boston. Sobre este tipo de ataques, el
investigador español José Selvi (@joseselvi)
lleva más de un año realizando presentaciones
en múltiples conferencias de seguridad (BlackHat Europe 2014, RootedCON 2015, DEF CON 23 y Navaja Negra / ConectaCON 2015).
Dada la gravedad de la
vulnerabilidad, es importante actualizar
cuanto antes los sistemas que contienen esta implementación, que son los sistemas
"Unix-like" más populares
(GNU/Linux, Mac OS X, BSD...). Fabricantes como Cisco han anunciado que están
investigando cómo afecta
esta vulnerabilidad a sus dispositivos y que publicarán actualizaciones para
sus productos.
Más información:
NTP.org - October 2015 NTP Security
Vulnerability Announcement (Medium)
NAK to the Future: NTP Symmetric Association
Authentication Bypass Vulnerability
Network Time Protocol flaws defy HTTPS, cause
network chaos
Network Time Protocol
Multiple Vulnerabilities in ntpd
Affecting Cisco Products - October 2015
Attacking
the Network Time Protocol
Breaking SSL using time synchronisation attacks
NTP MitM
con Delorean
Carlos Ledesma
No hay comentarios:
Publicar un comentario