viernes, 10 de abril de 2015

Vulnerabilidades en el protocolo NTP

Se han anunciado dos vulnerabilidades en el protocolo Network Time Protocol (NTP), que podrían permitir evitar el uso de conexiones autenticadas o provocar condiciones de denegación de servicio.

NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.

El primero de los problemas (con CVE-2015-1798) hace referencia a instalaciones NTP4 (versiones ntp-4.2.5p99 a ntp-4.2.8p1) que hagan uso de autenticación con clave simétrica. En esta configuración se comprueba si en el paquete recibido el Código de Autenticación de Mensaje (MAC, Message Authentication Code) es válido, pero no se comprueba si realmente está incluido. Por ello, paquetes sin un MAC son aceptados como si tuvieran un MAC válido. Esto podría permitir a un atacante MITM enviar paquetes NTP falsos que serán aceptados sin necesidad de saber la clave simétrica.

Por otra parte, con CVE-2015-1799, una vulnerabilidad que afecta a instalaciones NTP que utilizan autenticación con clave simétrica, incluyendo versiones xntp3.3wy a ntp-4.2.8p1. Se pueden crear condiciones de denegación de servicio cuando dos sistemas emparejados reciben paquetes en los que las marcas de tiempo de origen y de transmisión no coinciden. Un atacante podrá evitar la sincronización entre dos sistemas mediante el envío periódico de paquetes con estas características.

Se recomienda actualizar a la versión 4.2.8p2 disponible desde:

Más información:

ntpd accepts unauthenticated packets with symmetric key crypto.

Authentication doesn't protect symmetric associations against DoS attacks.

Vulnerability Note VU#374268
NTP Project ntpd reference implementation contains multiple vulnerabilities


Antonio Ropero

Twitter: @aropero

2 comentarios:

  1. Técnicamente no son vulnerabilidades en el protocolo sino en una implementación, ¿cierto?

    ResponderEliminar
  2. Cierto, las vulnerabilidades son de la implementación, no del protocolo.

    Un saludo.

    ResponderEliminar