Ataques de DDoS baseados no NTP

Nenhum comentário




Depois de algum tempo sem escrever, vamos voltar a "falar" um pouco sobre o que vem acontecendo no campo da Segurança da Informação.

Há algum tempo tenho acompanhado alguns artigos falando sobre o uso do NTP como veículo de novos ataques em massa de DDoS e depois dos últimos eventos onde um grande e massivo ataque DDoS chegou a alcançar 400Gb de tráfego, superando o último grande evento chamado de "Spamhaus attack".

Neste tipo de ataque, o protocolo e servidores NTP estão sendo usados para aumentar o tráfego para o alvo. Este tipo de ameaça foi notificado pelo US-CERT em um comunicado direcionado a empresas que aparentemente seriam os alvos deste tipo de ataque.

No entanto, este tipo de ataque apesar de enorme não é novidade. Muitos ataques são feitos utilizando vários protocolos de rede como o SNMP, o CHARGEN e o próprio NTP, por falar nisso, o próprio ataque "Spamhaus" usou uma vulnerabilidade do protocolo NTP para atingir os 300Gb de tráfego em março de 2013, naquele que era até então o maior ataque DDoS.

Para entender um pouco o que acontece neste tipo de ataque, onde milhões de computadores fazem requisições para serviços legítimos mas o IP de destino para resposta dos servidores é o IP do alvo, imagine o seguinte cenário. Um atacante dispara uma requisição de sincronização de tempo para um servidor NTP, normalmente o servidor vai responder com o "tempo" correto ao solicitante, processo normal. O que acontece no tipo de ataque onde o resultado é amplificado é que milhões de máquinas, possivelmente já infectadas, disparam requisições de consulta a vários servidores, todas com IP forjado da vítima, desta forma levando todo o tráfego para o IP da vítima causando o DDoS. Para ilustrar, temos um vídeo onde é explicado este princípio usando como serviço o DNS mas, pode ser usado também com o NTP.


No ataque com o NTP, ou com qualquer outro protocolo similar, os atacantes conseguiram fazer duas coisas ao mesmo tempo. A primeira é que o IP da origem não aparece, pois a vítima só recebe as respostas vindas de servidores legítimos e o segundo é que há um aumento exponencial de máquinas intermediárias, que são realmente as que causam o ataque.

Desta vez, a escolha do NTP tem basicamente um motivo que é, o serviço de NTP muitas vezes é configurado apenas uma única vez, depois é muito difícil voltar para a configuração, o que pode deixar muitos servidores NTP vulneráveis a este tipo de utilização.

Este tipo de ataque vem crescendo e muito após 2 de janeiro, quando o US-CERT liberou um comunicado sobre a vulnerabilidade CVE-2013-5211. Este comunicado relatava um bug no ntpd que poderia ser usado para ataques de DDoS amplificados.

Neste momento, a solução para este tipo de vulnerabilidade é relativamente simples. No site do Open NTP Project é possível verificar se seu servidor esta vulnerável, ou você pode executar os seguintes comandos.

ntpdc -n -c monlist 192.0.2.1

ou

ntpq -c rv 192.0.2.1

Se houver resposta de seus comando, o seu serviço pode ser usado para novos ataques, proceda com a atualização para versões NTP-4.2.7p26 ou posteriores. Ainda, desabilite a opção monitor no arquivos ntp.conf (disable monitor), depois disso restart o serviço. Para mais informações, veja aqui um comunicado do Team Cymru Research onde foi disponibilizado um templete de configurações mais seguras para o serviço NTP ou ainda no NTP Bug. Ainda, se você tem que manter serviços de NTP ou de outros serviços para a Internet, deve implementar as recomendações disponíveis no BCP-38.

A seguir mais um bom exemplo de material que pode ser consultado para melhorar o entendimento sobre este tipo de ataques, que como mencionado anteriormente pode ser usado com muitos outros protocolos.

http://www.slideshare.net/jgrahamc/cloud-flarejgc-secure2013andvirusbulletin2013

Este tipo de ataque é mais um motivo para empresas começarem a levar muito a sério os novos desafios que serão enfrentados pelas suas equipes de Segurança e de TI, e que grandes investimentos em especialização das equipes e novas estruturadas devem receber novos investimentos mas, nem tudo pode ser resolvido com dinheiro e aumento na equipe, muitos destes ataques usar vulnerabilidades em serviços relativamente simples e que podem ser resolvidas com atualizações e mais cuidados nas configurações.



Nenhum comentário :

Postar um comentário

Gostaria de saber a sua opinião.