摘要:在2014年4月,Linux基金会带头建立了核心基础设施,以响应如Heartbleed这样的安全漏洞披露,保护那些在互联网上被广泛使用的开源项目。作为Linux基金会的核心基础设施举措(CII)指导小组的成员之一,思科通过评估网络时间协议守护进程(NTPD)的安全缺陷,促进了CII的努力。 |
在2014年4月,Linux基金会带头建立了核心基础设施,以响应如Heartbleed这样的安全漏洞披露,保护那些在互联网上被广泛使用的开源项目。作为Linux基金会的核心基础设施举措(CII)指导小组的成员之一,思科通过评估网络时间协议守护进程(NTPD)的安全缺陷,促进了CII的努力。 NTPD是用于同步的主机之间的时间广泛部署的软件包。 NTPD附带了各种网络设备和嵌入式设备以及桌面和服务器操作系统,包括Mac OS X,主要的Linux发行版,和BSD系统。
2015年10月21日,与NTP项目合作,思科发布了8个由思科Talos与高级安全倡议组织(ASIG)发现的漏洞。按照思科的脆弱性报告和信息披露准则,这些漏洞已经被报告给NTP项目。 NTP的项目作出回应,发布了一个安全公告和相应的补丁版本。更多的信息,,可以访问Talos网站上的漏洞报告网页。
利用这些漏洞,未经过身份验证的攻击者能够迫使网络时间协议守护进程(ntpd)与恶意的时间服务器源进行同步,这样一来,攻击者就可以随意修改目标系统的系统时间了。网络时间协议守护进程(ntpd)在处理某些经过加密的、没有得到应答的网络数据包时,会发生错误。总的来说,恶意攻击者能够迫使目标主机的网络时间协议守护进程(ntpd)与恶意的时间同步源进行同步,并且干扰目标系统的系统时钟。
在某些操作系统中,恶意地更改系统时间将会带来非常严重的影响,攻击者可以利用这一漏洞来实现:
-利用过期的账号和密码进行身份验证;
-让TLS客户端接收已经过期作废的证书,并拒绝当前有效的证书;
-绕过现代Web安全防御机制,例如证书绑定以及HTTP安全传输机制;
-强制刷新缓存系统中的缓存数据,从而导致系统性能显著下降,例如DNS和CDN等;
-攻击基于物理的实时网络系统
已知的易受攻击版本
•NTP 4.2.5p186到NTP 4.2.8p3
•NTP-dev.4.3.70
思科针对NTP漏洞的最新响应
Talos发布了最新的特征规则,来检测企图利用这些漏洞的攻击,以保护我们的客户。在未来,根据漏洞的变化情况,也会有新的安全规则发布,或者对已有的安全规则做出更新。有关最新防护策略的信息,请参阅您的FireSIGHT管理中心或Snort.org。
Snort规则:35831,36250-36253, 36536。
思科Talos小组介绍
Talos团队由业界领先的网络安全专家组成,他们分析评估黑客活动,入侵企图,恶意软件以及漏洞的最新趋势。包括ClamAV团队和一些标准的安全工具书的作者中最知名的安全专家,都是Talos的成员。这个团队同时得到了Snort、ClamAV、 Senderbase.org 和Spamcop.net社区的庞大资源支持,使得它成为网络安全行业最大的安全研究团队。也为思科的安全研究和安全产品服务提供了强大的后盾支持。
责任编辑:余芯