[emanicslab] FW: [UniBwM#2014011410000731] [Abuse] DFN-CERT#2014-374066 - NTP-Server Schwachstelle

Guilherme Sperb Machado machado at ifi.uzh.ch
Tue Jan 14 19:09:12 CET 2014 

Hello all,

PlanetLab nodes had the same problem until a bit before Christmas.
They fixed the NTPd to avoid the answer to spoofed IP addresses
(however, I don't know how exactly they did that).
We've got a traffic alert from SWITCH (who provides the Internet
connectivity to us) and then we discovered such NTP problem as well.

Cheers,
Guilherme

2014/1/14 David Hausheer <hausheer at ifi.uzh.ch>:
> Thanks Mario,
>
> Indeed we have still ntpd version 4.2.6p3-RC10 installed on the nodes. I
> have applied the proposed fix, i.e. I temporarily added "restrict default
> kod nomodify notrap nopeer noquery" to /etc/ntp.conf and restarted the ntp
> daemon.
>
> In the coming days the EmanicsLab nodes will be reinstalled to the newest
> version (I will send a separate email later). After this the problem will be
> fixed permanently.
>
> Best regards
> David
>
> On 14.01.2014 18:45, Mario Golling wrote:
>>
>> Hi David,
>>
>> DFN Cert found out, that our Servers are vulnerable to an NTP-Exploit
>> (explanation in german - see below). However, this exploit works only for
>> prior to ntpd Version 4.2.7p26.
>>
>> So my questions to you:
>>
>> 1) Are we really running a ntpd version prior to ntpd Version 4.2.7p26
>> 2) If so - please notify all (which is more or less done)
>> 3) Please update ;-)
>>
>>
>> For your information: We (=UniBw) have blocked incoming NTP here in Munich
>> (effective immediately). However, I'm pretty sure that I can arrange
>> reopening NTP if we have fixed this issue.
>>
>>
>> Thanks,
>>
>> Mario
>>
>> Am 14.01.14 16:08 schrieb "Missbrauch HDN" unter
>> <abuse at otrs.rz.unibw-muenchen.de>:
>>
>>> Hallo Mario,
>>>
>>> zur Info.
>>>
>>> Wir haben NTP erst mal abgedreht von außen.
>>>
>>>
>>>
>>> Mit freundlichen Grüßen,
>>> Winfried Thalmeier, Rechenzentrum UniBw München
>>>
>>> [UniBwM#2014011410000731]
>>>
>>> 14.01.2014 14:19 - dfncert at dfn-cert.de schrieb:
>>>
>>>> -----BEGIN PGP SIGNED MESSAGE-----
>>>> Hash: SHA256
>>>>
>>>> Liebe Kolleginnen und Kollegen,
>>>>
>>>> wir erhielten die Information, dass ein von Ihrer Einrichtung
>>>> betriebener
>>>> NTP-Dienst (ntpd oder auch andere Appliances) für eine aktuelle
>>>> Schwachstelle verwundbar ist und für Denial-of-Service-Angriffe gegen
>>>> andere
>>>> Systeme/Einrichtungen ausgenutzt werden kann:
>>>>
>>>> Logs:
>>>> IP-Adresse - Zeitstempel
>>>> 137.193.69.226 - 2014-01-05 20:25:23+01
>>>>
>>>> Der Zeitstempel ist in CET / GMT+01 angegeben.
>>>>
>>>> Die Schwachstelle beruht darauf, dass der ntpd bis vor Version 4.2.7p26
>>>> auf die
>>>> Anfragen REQ_MON_GETLIST oder REQ_MON_GETLIST_1 mit einer Liste von bis
>>>> zu 600
>>>> Hosts antwortet, die den NTP-Dienst kontaktiert haben (siehe [1], [2],
>>>> [3]).
>>>
>>> Dies
>>>>
>>>> kann ein entfernter Angreifer mit einer kleinen Anfrage mit einer
>>>> gefälschten
>>>> Quell-IP (die IP-Adresse des anzugreifenden Systems) an einen
>>>> verwundbaren
>>>> NTP-Dienst ausnutzen, um mit der deutlich größeren Antwort des Dienstes
>>>> einen
>>>> Denial-of-Service-Angriff durchzuführen (Amplification-Attack siehe [4]
>>>> als
>>>> Beispiel).
>>>>
>>>>
>>>> Sie können mit den folgenden Kommandos kontrollieren, ob Ihr System
>>>> betroffen
>>>
>>> ist:
>>>>
>>>> ntpq -c rv
>>>> ntpdc -c sysinfo
>>>> ntpdc -n -c monlist
>>>>
>>>> Die Ausgabe gibt an, ob die entsprechenden Funktionen eingeschaltet
>>>> sind.
>>>>
>>>> Lösung
>>>> - ------
>>>> Ab der ntpd Version 4.2.7p26 sind die Funktionen REQ_MON_GETLIST und
>>>> REQ_MON_GETLIST_1 deaktiviert.
>>>>
>>>> Workarounds
>>>> - -----------
>>>> für die verwundbaren Versionen 4.2.6.x:
>>>>
>>>> 1. Blocken mit Firewall
>>>> Sie können den entsprechenden Datenverkehr an ein verwundbares System
>>>> mit einer
>>>> Firewall blocken bzw. auf bestimmte Netzbereiche einschränken.
>>>>
>>>> 2. Deaktivierung der Status Anfragen
>>>> Sie können verhindern, dass der ntpd die Status Informationen
>>>> herausgibt und
>>>> die Schwachstelle für Angriffe ausgenutzt werden kann. Dafür müssen Sie
>>>> die
>>>> folgende(n) Zeile(n) in der ntp.conf ergänzen. Bitte beachten Sie, dass
>>>> sich
>>>> je nach Betriebssystem und Version die Zeile unterscheiden kann:
>>>>
>>>> für IPV4:
>>>>    restrict default kod nomodify notrap nopeer noquery
>>>> für IPv6:
>>>>    restrict -6 default kod nomodify notrap nopeer noquery
>>>>
>>>>
>>>>
>>>> Wir bearbeiten diesen Vorfall unter der Nummer im Betreff. Da dies ein
>>>> weit
>>>> verbreitetes Problem ist, haben wir sehr viele Einrichtungen
>>>> angeschrieben.
>>>> Sie würden uns einen großen Gefallen tun, wenn Sie uns nur
>>>> kontaktieren, wenn
>>>> Sie Fragen oder Probleme habe oder, um uns über Falsch-Meldungen zu
>>>> informieren.
>>>> Wir bitten Sie, von Anworten wie "Danke, wir arbeiten daran" abzusehen.
>>>> Vielen Dank für Ihre Unterstützung!
>>>>
>>>> Viele Grüße aus Hamburg,
>>>>      Ihr DFN-CERT
>>>>
>>>>
>>>> DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone  +49 40
>>>> 808077-590
>>>> Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.:  DE
>>>> 232129737
>>>> Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter
>>>> Kossakowski
>>>>
>>>>
>>>>
>>>> [1] https://portal.cert.dfn.de/adv/DFN-CERT-2014-0017/
>>>> [2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211
>>>> [3] http://www.kb.cert.org/vuls/id/348126
>>>> [4] http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-
>>>
>>> launching-large-scale-ntp-reflection-attacks
>>>>
>>>> -----BEGIN PGP SIGNATURE-----
>>>>
>>>> iQIcBAEBCAAGBQJS1R4WAAoJEBJ5jghUyLx3R/oP/0ofvTiwPDv2c/C1bQCgNhpI
>>>> pBZikZkNAwS1QMMLdv4xmqmvlVMFW6/GJhKIs9WGP7BWq1x/Hcl9I94dHOY7MktK
>>>> QRBMdXNgXAg9rEzrJB+MK7q9ZzffmSCWg1XLYs3Sk6vY8lnBpjbvu0iPvwD2SX1P
>>>> XZEOlXrPpFEUfamEjB+siVBhnbO9hKnZmtuCxgVs6f/wlZdpiz2NnHRwJDvmfrUS
>>>> lQ0tvLSlg65o/cihPaVnE4l3xdHNYgUam4Lo0XF0sWnzmHiUdwWY38KmwPjMwDgA
>>>> OvQaye2PQPHYUFOskhoT/ss4NdHLBP97G2LmALdiG4X6bazsXkRZxXhxeCzBl2JP
>>>> QHqx3KDIj4zx5ISCWCPzhPn8kodfEQ2+deyr+5o2XGTwGdQJ6Eo7plm6FtVNb8sC
>>>> cb623CuiTMIu1zQIpbVTVnCRDuntQHElE+zARCYQQvEs+5/ev3nbGujuXPphV4L7
>>>> Xwe+rI0UdEPr3CagSKJDqkGuTDoGdRAgTKK6ByJWoIiqBOhkcj8/lEcDvicc9jg5
>>>> zo9Iu8ySHwua1zijYGUOa0Gf3uaKQGq4fMfQsR5WQ9Mi3Q+psWZLw9eqnuoVLXL+
>>>> bbBM66IT3pUDNSy96E7COnw01q5oobaxiiIsFvg8yMWEPfzZjPz43lfQYt3S1br7
>>>> mjoTdgumvbFLpMA/5DUO
>>>> =uJmi
>>>> -----END PGP SIGNATURE-----
>>>>
>>>>
>>
>>
>
> --
> +-----------------------------------------------------------+
> | David Hausheer, Dr. sc. techn. ETH                        |
> | Department of Informatics (IFI), University of Zurich     |
> |-----------------------------------------------------------|
> | Postal Address: Binzmuehlestrasse 14, CH-8050 Zurich      |
> |-----------------------------------------------------------|
> | Phone:  +41-44-635-4372 | VoIP:   sip:hausheer at ifi.uzh.ch |
> | Fax:    +41-44-635-6809 | E-Mail:     hausheer at ifi.uzh.ch |
> | Mobile: +41-79-336-4076 | Web: http://hausheer.osola.com/ |
> +-----------------------------------------------------------+
> _______________________________________________
> emanicslab mailing list
> emanicslab at lists.ifi.uzh.ch
> https://lists.ifi.uzh.ch/listinfo/emanicslab



-- 
----------------------------------------------------
MSc. Guilherme Sperb Machado
Researcher & PhD. student at UZH (Universität Zürich)
http://www.csg.uzh.ch/staff/machado/
----------------------------------------------------

More information about the emanicslab mailing list