在2014年4月，Linux基金会带头建立了核心基础设施，以响应如Heartbleed这样的安全漏洞披露，保护那些在互联网上被广泛使用的开源项目。作为Linux基金会的核心基础设施举措(CII)指导小组的成员之一，思科通过评估网络时间协议守护进程(NTPD)的安全缺陷，促进了CII的努力。 NTPD是用于同步的主机之间的时间广泛部署的软件包。 NTPD附带了各种网络设备和嵌入式设备以及桌面和服务器操作系统，包括Mac OS X，主要的Linux发行版，和BSD系统。

　　2015年10月21日，与NTP项目合作，思科发布了8个由思科Talos与高级安全倡议组织(ASIG)发现的漏洞。按照思科的脆弱性报告和信息披露准则，这些漏洞已经被报告给NTP项目。 NTP的项目作出回应，发布了一个安全公告和相应的补丁版本。更多的信息，，可以访问Talos网站上的漏洞报告网页。

　　利用这些漏洞，未经过身份验证的攻击者能够迫使网络时间协议守护进程(ntpd)与恶意的时间服务器源进行同步，这样一来，攻击者就可以随意修改目标系统的系统时间了。网络时间协议守护进程(ntpd)在处理某些经过加密的、没有得到应答的网络数据包时，会发生错误。总的来说，恶意攻击者能够迫使目标主机的网络时间协议守护进程(ntpd)与恶意的时间同步源进行同步，并且干扰目标系统的系统时钟。

　　在某些操作系统中，恶意地更改系统时间将会带来非常严重的影响，攻击者可以利用这一漏洞来实现：

　　-利用过期的账号和密码进行身份验证;

　　-让TLS客户端接收已经过期作废的证书，并拒绝当前有效的证书;

　　-绕过现代Web安全防御机制，例如证书绑定以及HTTP安全传输机制;

　　-强制刷新缓存系统中的缓存数据，从而导致系统性能显著下降，例如DNS和CDN等;

　　-攻击基于物理的实时网络系统

　　已知的易受攻击版本

　　•NTP 4.2.5p186到NTP 4.2.8p3

　　•NTP-dev.4.3.70　　

 

　　思科针对NTP漏洞的最新响应

　　Talos发布了最新的特征规则，来检测企图利用这些漏洞的攻击，以保护我们的客户。在未来，根据漏洞的变化情况，也会有新的安全规则发布，或者对已有的安全规则做出更新。有关最新防护策略的信息，请参阅您的FireSIGHT管理中心或Snort.org。

　　Snort规则：35831，36250-36253， 36536。

　　思科Talos小组介绍

　　Talos团队由业界领先的网络安全专家组成，他们分析评估黑客活动，入侵企图，恶意软件以及漏洞的最新趋势。包括ClamAV团队和一些标准的安全工具书的作者中最知名的安全专家，都是Talos的成员。这个团队同时得到了Snort、ClamAV、 Senderbase.org 和Spamcop.net社区的庞大资源支持，使得它成为网络安全行业最大的安全研究团队。也为思科的安全研究和安全产品服务提供了强大的后盾支持。

　　责任编辑：余芯