Όπως έχουμε ήδη αναφέρει σε προηγούμενη δημοσίευσή μας, οι διακομιστές πρωτοκόλλου NTP (οι οποίοι χρησιμοποιούνται για τη ρύθμιση του χρονισμού σε δικτυακές συσκευές) είναι επιρρεπείς σε επιθέσεις απομακρυσμένης εκτέλεσης κώδικα, μέσω της εκμετάλλευσης τρωτών σημείων που ανακαλύφθηκαν πρόσφατα στο Πρωτόκολλο Δικτυακού Χρόνου (Network Time Protocol – NTP).
Ο οργανισμός Network Time Foundation εξέδωσε μια προειδοποίηση σχετικά με τους κινδύνους που απειλούν τους διακομιστές NTP που δεν έχουν λάβει την τελευταία ενημέρωση του πρωτοκόλλου (4.2.8), η οποία κυκλοφόρησε στις 18 Δεκεμβρίου. Ο ICS-CERT είχε επίσης ενημερώσει τους χρήστες για τον κίνδυνο που διατρέχουν τα μη ενημερωμένα συστήματα.
Ο οργανισμός αποκάλυψε συνολικά έξι ευπάθειες, αναγνωρίζοντας δύο από αυτές ως κρίσιμης σημασίας, ενώ οι υπόλοιπες τέσσερις παρουσιάζουν χαμηλότερο κίνδυνο. Για την επιτυχή αξιοποίηση των ευπαθειών δεν απαιτούνται προηγμένες γνώσεις και ένας εισβολέας θα μπορούσε να εκτελέσει αυθαίρετο κώδικα εξ αποστάσεως, αποκτώντας τα ίδια προνόμια με αυτά της διαδικασίας ntpd. Εάν η διαδικασία εκτελείται με αυξημένα δικαιώματα, τότε ένας εισβολέας θα μπορούσε να αποκτήσει πρόσβαση root στο μηχάνημα και να αναλάβει τον πλήρη έλεγχο. Εάν ωστόσο χρησιμοποιούνται χαμηλότερα δικαιώματα για την εκτέλεση της διαδικασίας, το οποίο είναι και το πιο πιθανό σενάριο, οι εισβολείς θα πρέπει να αναζητήσουν τρόπους για να αυξήσουν τα δικαιώματά τους στο μηχάνημα.
Eπιπλέον, οι ερευνητές εντόπισαν τρεις ευπάθειες τύπου buffer overflow (στα “crypto_recv ()”, “ctl_putdata ()” και “Configure ()”), οι οποίες θα μπορούσαν να αξιοποιηθούν με την αποστολή ενός ειδικά διαμορφωμένου πακέτου για την υπερχείλιση του buffer και την απομακρυσμένη εκτέλεση αυθαίρετου κώδικα στο σύστημα.
Οι διαχειριστές που τρέχουν μη ενημερωμένους διακομιστές NTP καλούνται να εφαρμόσουν τις ενημερώσεις το συντομότερο δυνατόν, προκειμένου να εξαλείψουν τον κίνδυνο για επιθέσεις απομακρυσμένης εκτέλεσης κώδικα και επιθέσεις άρνησης υπηρεσιών (DDoS).
