Специалисты нашли в протоколе NTP серьёзные уязвимости

031 Сотрудники ICS-CERT обязаны быстро реагировать на любые киберугрозы в сфере промышленных программных систем. На этот раз их внимание привлекла серьёзная ошибка, выявленная в использовании протокола NTP. Версии 4.2.8 и ниже уязвимы к таким атакам, в более свежих прошивках проблема была успешно устранена. Также в изучении проблемы большую работу проделали специалисты из Google, проведшие глубокий анализ нескольких промышленных систем с протоколом NTP.

В официальном отчёте ICS-CERT сообщается о том, что уязвимость можно использовать благодаря возможности запуска произвольного кода в рамках ntpd-процессов. Поскольку требуемые эксплоиты доступны на многих сетевых ресурсах, воспользоваться ими может любой желающий. Для этого не требуется каких-то особых хакерских навыков, вполне достаточно среднего уровня знаний. Реальных фактов использования бреши выявлено не было.

Специалисты из Google Neel Mehta и Stephen Roettger заявляют, что три из найденных уязвимостей эксплуатируют переполнение буфера. Также большой проблемой является слабая случайная генерация чисел, принятая в NTP. Ещё одна уязвимость носит менее критический характер. В обновлении потребовалось усовершенствовать ключ для генерации по умолчанию, используя более совершенный и сложный для обнаружения алгоритм.

Что касается рекомендаций по обновлению систем, то сотрудники ICS-CERT предупреждают сетевых администраторов о необходимости протестировать патч на отдельной машине, а также свести взаимодействие с Сетью к минимуму. Рекомендуется использовать межсетевые экраны, предварительно сделав резервную копию всех данных, с которыми планируется работать. Это же касается и систем управления, используемых в крупных промышленных комплексах.