概要
Linux Foundation の Core Infrastructure Initiative
のメンバーであるシスコは、Network Time Protocol デーモン(ntpd)のセキュリティの不具合を評価することで、CII の活動に貢献しています。当社はこれまでにも、ソフトウェアのさらなる脆弱性を特定する調査を継続的に実施しており、ntpd の一連の脆弱性を確認しました。この脆弱性は開始タイムスタンプ チェック機能が原因で、ピアに対して DoS攻撃を起こします。攻撃者は認証されていなくてもこの脆弱性を悪用することができます。
ntpd は Network Time Protocol を使用してコンピュータ システム間のクロック同期を行い 、システムの保全性を維持する重要な役割を果たします。
詳細
TALOS-2016-0260 (CVE-2016-9042) – Network Time Protocol の開始タイムスタンプ チェックにサービス妨害(DoS)を引き起こす脆弱性
攻撃者は認証されてなくても細工されたネットワーク パケットを送信して標的となるピアの開始タイムスタンプをリセットできます。攻撃者がピアのソース アドレスを知っている場合は、ゼロに設定した開始タイムスタンプをピアのソース アドレスに付けた、なりすまし ntpd パケットを送信して、開始の本来のタイムスタンプをクリアします。したがって、正しいタイムスタンプの着信パケットは、本来のタイムスタンプの(クリアされた)値と一致しないため拒否されます。これによりパケットはドロップされ、サービス妨害の状況が創られます。
詳細については TALOS-2016-0260 を参照してください。
テストされたバージョン: NTP 4.2.8p9
まとめ
ntpd は多くのシステムにおいて、システム クロックが共通の基準に同期されていることを確保する上で不可欠な機能です。シスコはこれまでに ntpd の一連の脆弱性を確認しており、パッチのリリースとともに、これらの脆弱性の不正利用が確実に検出されるように取り組んできました。
組織は、なりすましの可能性がある ntpd パケットがネットワーク境界内で確実に拒否されること、ntpd への早急かつ完全なパッチ対応がされているかアップグレードされていること、そして潜在的な不正利用を検知する環境が整っていることを確認する必要があります。
カバレッジ
この悪意ある試行は、以下の Snort ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center、または Snort.org を参照してください。
Snort ルール:41367
本稿は 2017年3月29日に Talos Group
Authors