Más vulnerabilidades en la implementación estándar de NTP

NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.

Este protocolo y especialmente su implementación estándar, la proporcionada por NTF (Network Time Foundation), ha estado en el punto de mira estos dos últimos años, descubriéndose vulnerabilidades graves como la ejecución de código o la no validación de la autenticación de los paquetes.

La vulnerabilidad más grave de las descubiertas esta semana permite a un atacante emparejarse con un cliente sin autenticación, con lo que puede cambiar la hora del cliente. Este error se debe a un error en el manejo de paquetes crypto-NAK especialmente diseñados, que pasan ciertas comprobaciones que no deberían y terminan estableciendo una asociación confiada. Si se usan en el ataque más servidores maliciosos que servidores legítimos, se puede convencer al cliente para que modifique su reloj.

A priori, no parece importante que se pueda modificar el reloj de un sistema. Sin embargo, tiene consecuencias indirectas sobre otras funcionalidades. Por ejemplo, cambiar la fecha a un año atrás haría al sistema aceptar certificados ya revocados con la clave privada comprometida, lo que permitiría realizar un ataque de suplantación de identidad. Además de afectar a servicios de autenticación como Kerberos y Active Directory, que dependen de un reloj en hora para su correcto funcionamiento.

¿Habíais visto este reloj antes?

Es por esto que NTP.org ha anunciado la salida de la versión 4.2.8.p4, que corrige 13 vulnerabilidades. Entre ellas se encuentra la más grave de las citadas anteriormente, con CVE CVE-2015-7871, que ha sido bautizada como «NAK to the Future«, por coincidir su publicación con la fecha en la que Doc y Marty McFly llegan al futuro en la película «Regreso al futuro» (Back to the Future).

A vueltas con la fecha y aprovechando el recurso, ha parecido muy apropiado la presentación de un resumen de los ataques NTPrealizado por investigadores de la Universidad de Boston. Sobre este tipo de ataques, el investigador español José Selvi (@joseselvi) lleva más de un año realizando presentacionesen múltiples conferencias de seguridad (BlackHat Europe 2014, RootedCON 2015, DEF CON 23 y Navaja Negra / ConectaCON 2015).

Dada la gravedad de la vulnerabilidad, es importante actualizar cuanto antes los sistemas que contienen esta implementación, que son los sistemas «Unix-like» más populares (GNU/Linux, Mac OS X, BSD…). Fabricantes como Cisco han anunciado que están investigando cómo afecta esta vulnerabilidad a sus dispositivos y que publicarán actualizaciones para sus productos.