[emanicslab] FW: [UniBwM#2014011410000731] [Abuse] DFN-CERT#2014-374066 - NTP-Server Schwachstelle

David Hausheer hausheer at ifi.uzh.ch
Tue Jan 14 19:04:32 CET 2014 

Thanks Mario,

Indeed we have still ntpd version 4.2.6p3-RC10 installed on the nodes. I 
have applied the proposed fix, i.e. I temporarily added "restrict 
default kod nomodify notrap nopeer noquery" to /etc/ntp.conf and 
restarted the ntp daemon.

In the coming days the EmanicsLab nodes will be reinstalled to the 
newest version (I will send a separate email later). After this the 
problem will be fixed permanently.

Best regards
David

On 14.01.2014 18:45, Mario Golling wrote:
> Hi David,
>
> DFN Cert found out, that our Servers are vulnerable to an NTP-Exploit
> (explanation in german - see below). However, this exploit works only for
> prior to ntpd Version 4.2.7p26.
>
> So my questions to you:
>
> 1) Are we really running a ntpd version prior to ntpd Version 4.2.7p26
> 2) If so - please notify all (which is more or less done)
> 3) Please update ;-)
>
>
> For your information: We (=UniBw) have blocked incoming NTP here in Munich
> (effective immediately). However, I'm pretty sure that I can arrange
> reopening NTP if we have fixed this issue.
>
>
> Thanks,
>
> Mario
>
> Am 14.01.14 16:08 schrieb "Missbrauch HDN" unter
> <abuse at otrs.rz.unibw-muenchen.de>:
>
>> Hallo Mario,
>>
>> zur Info.
>>
>> Wir haben NTP erst mal abgedreht von außen.
>>
>>
>>
>> Mit freundlichen Grüßen,
>> Winfried Thalmeier, Rechenzentrum UniBw München
>>
>> [UniBwM#2014011410000731]
>>
>> 14.01.2014 14:19 - dfncert at dfn-cert.de schrieb:
>>
>>> -----BEGIN PGP SIGNED MESSAGE-----
>>> Hash: SHA256
>>>
>>> Liebe Kolleginnen und Kollegen,
>>>
>>> wir erhielten die Information, dass ein von Ihrer Einrichtung
>>> betriebener
>>> NTP-Dienst (ntpd oder auch andere Appliances) für eine aktuelle
>>> Schwachstelle verwundbar ist und für Denial-of-Service-Angriffe gegen
>>> andere
>>> Systeme/Einrichtungen ausgenutzt werden kann:
>>>
>>> Logs:
>>> IP-Adresse - Zeitstempel
>>> 137.193.69.226 - 2014-01-05 20:25:23+01
>>>
>>> Der Zeitstempel ist in CET / GMT+01 angegeben.
>>>
>>> Die Schwachstelle beruht darauf, dass der ntpd bis vor Version 4.2.7p26
>>> auf die
>>> Anfragen REQ_MON_GETLIST oder REQ_MON_GETLIST_1 mit einer Liste von bis
>>> zu 600
>>> Hosts antwortet, die den NTP-Dienst kontaktiert haben (siehe [1], [2],
>>> [3]).
>> Dies
>>> kann ein entfernter Angreifer mit einer kleinen Anfrage mit einer
>>> gefälschten
>>> Quell-IP (die IP-Adresse des anzugreifenden Systems) an einen
>>> verwundbaren
>>> NTP-Dienst ausnutzen, um mit der deutlich größeren Antwort des Dienstes
>>> einen
>>> Denial-of-Service-Angriff durchzuführen (Amplification-Attack siehe [4]
>>> als
>>> Beispiel).
>>>
>>>
>>> Sie können mit den folgenden Kommandos kontrollieren, ob Ihr System
>>> betroffen
>> ist:
>>> ntpq -c rv
>>> ntpdc -c sysinfo
>>> ntpdc -n -c monlist
>>>
>>> Die Ausgabe gibt an, ob die entsprechenden Funktionen eingeschaltet
>>> sind.
>>>
>>> Lösung
>>> - ------
>>> Ab der ntpd Version 4.2.7p26 sind die Funktionen REQ_MON_GETLIST und
>>> REQ_MON_GETLIST_1 deaktiviert.
>>>
>>> Workarounds
>>> - -----------
>>> für die verwundbaren Versionen 4.2.6.x:
>>>
>>> 1. Blocken mit Firewall
>>> Sie können den entsprechenden Datenverkehr an ein verwundbares System
>>> mit einer
>>> Firewall blocken bzw. auf bestimmte Netzbereiche einschränken.
>>>
>>> 2. Deaktivierung der Status Anfragen
>>> Sie können verhindern, dass der ntpd die Status Informationen
>>> herausgibt und
>>> die Schwachstelle für Angriffe ausgenutzt werden kann. Dafür müssen Sie
>>> die
>>> folgende(n) Zeile(n) in der ntp.conf ergänzen. Bitte beachten Sie, dass
>>> sich
>>> je nach Betriebssystem und Version die Zeile unterscheiden kann:
>>>
>>> für IPV4:
>>>    restrict default kod nomodify notrap nopeer noquery
>>> für IPv6:
>>>    restrict -6 default kod nomodify notrap nopeer noquery
>>>
>>>
>>>
>>> Wir bearbeiten diesen Vorfall unter der Nummer im Betreff. Da dies ein
>>> weit
>>> verbreitetes Problem ist, haben wir sehr viele Einrichtungen
>>> angeschrieben.
>>> Sie würden uns einen großen Gefallen tun, wenn Sie uns nur
>>> kontaktieren, wenn
>>> Sie Fragen oder Probleme habe oder, um uns über Falsch-Meldungen zu
>>> informieren.
>>> Wir bitten Sie, von Anworten wie "Danke, wir arbeiten daran" abzusehen.
>>> Vielen Dank für Ihre Unterstützung!
>>>
>>> Viele Grüße aus Hamburg,
>>>      Ihr DFN-CERT
>>>
>>>
>>> DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone  +49 40
>>> 808077-590
>>> Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.:  DE
>>> 232129737
>>> Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter
>>> Kossakowski
>>>
>>>
>>>
>>> [1] https://portal.cert.dfn.de/adv/DFN-CERT-2014-0017/
>>> [2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211
>>> [3] http://www.kb.cert.org/vuls/id/348126
>>> [4] http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-
>> launching-large-scale-ntp-reflection-attacks
>>> -----BEGIN PGP SIGNATURE-----
>>>
>>> iQIcBAEBCAAGBQJS1R4WAAoJEBJ5jghUyLx3R/oP/0ofvTiwPDv2c/C1bQCgNhpI
>>> pBZikZkNAwS1QMMLdv4xmqmvlVMFW6/GJhKIs9WGP7BWq1x/Hcl9I94dHOY7MktK
>>> QRBMdXNgXAg9rEzrJB+MK7q9ZzffmSCWg1XLYs3Sk6vY8lnBpjbvu0iPvwD2SX1P
>>> XZEOlXrPpFEUfamEjB+siVBhnbO9hKnZmtuCxgVs6f/wlZdpiz2NnHRwJDvmfrUS
>>> lQ0tvLSlg65o/cihPaVnE4l3xdHNYgUam4Lo0XF0sWnzmHiUdwWY38KmwPjMwDgA
>>> OvQaye2PQPHYUFOskhoT/ss4NdHLBP97G2LmALdiG4X6bazsXkRZxXhxeCzBl2JP
>>> QHqx3KDIj4zx5ISCWCPzhPn8kodfEQ2+deyr+5o2XGTwGdQJ6Eo7plm6FtVNb8sC
>>> cb623CuiTMIu1zQIpbVTVnCRDuntQHElE+zARCYQQvEs+5/ev3nbGujuXPphV4L7
>>> Xwe+rI0UdEPr3CagSKJDqkGuTDoGdRAgTKK6ByJWoIiqBOhkcj8/lEcDvicc9jg5
>>> zo9Iu8ySHwua1zijYGUOa0Gf3uaKQGq4fMfQsR5WQ9Mi3Q+psWZLw9eqnuoVLXL+
>>> bbBM66IT3pUDNSy96E7COnw01q5oobaxiiIsFvg8yMWEPfzZjPz43lfQYt3S1br7
>>> mjoTdgumvbFLpMA/5DUO
>>> =uJmi
>>> -----END PGP SIGNATURE-----
>>>
>>>
>
>

-- 
+-----------------------------------------------------------+
| David Hausheer, Dr. sc. techn. ETH                        |
| Department of Informatics (IFI), University of Zurich     |
|-----------------------------------------------------------|
| Postal Address: Binzmuehlestrasse 14, CH-8050 Zurich      |
|-----------------------------------------------------------|
| Phone:  +41-44-635-4372 | VoIP:   sip:hausheer at ifi.uzh.ch |
| Fax:    +41-44-635-6809 | E-Mail:     hausheer at ifi.uzh.ch |
| Mobile: +41-79-336-4076 | Web: http://hausheer.osola.com/ |
+-----------------------------------------------------------+

More information about the emanicslab mailing list