Task #16712
closedFwd: [Zur Info: Urgent] DFN-CERT#2014-374066 - NTP-Server Schwachstelle [TUM#2014011510022527]
0%
Description
Hallo,
Anbei eine Mail vom LRZ, die uns erreicht hat.
Bei der Gelegenheit, falls es jemand noch nicht wissen sollte:
ntp.in.tum.de bzw.
ntp1.in.tum.de und ntp2.in.tum.de
sind von der RBG betriebene NTP-Server.
Betroffen von der LRZ-Meldung sind nach bisherigem Stand die IP-Adressen:
131.159.18.16
131.159.18.23
131.159.18.54
131.159.18.56
131.159.18.139
131.159.19.28
131.159.19.29
131.159.19.62
131.159.19.75
131.159.19.76
131.159.19.77
131.159.19.84
131.159.19.87
131.159.19.89
131.159.19.106
131.159.19.114
131.159.19.115
131.159.19.179
131.159.19.180
131.159.19.181
131.159.19.209
131.159.20.103
131.159.24.64
131.159.24.76
131.159.24.153
131.159.24.242
131.159.28.63
131.159.28.69
131.159.28.71
131.159.32.66
131.159.35.30
131.159.35.62
131.159.41.105
131.159.41.124
131.159.44.2
131.159.44.3
131.159.44.47
131.159.44.49
131.159.44.56
131.159.44.59
131.159.44.103
131.159.44.105
131.159.44.106
131.159.44.137
131.159.52.46
131.159.52.47
131.159.52.48
131.159.52.49
131.159.52.50
131.159.52.51
131.159.52.52
131.159.52.53
131.159.52.54
131.159.52.55
131.159.52.56
131.159.52.57
131.159.52.58
131.159.52.59
131.159.52.60
131.159.52.64
131.159.52.65
131.159.52.66
131.159.52.67
131.159.52.68
131.159.56.1
131.159.56.2
131.159.56.4
131.159.56.5
131.159.56.14
131.159.56.102
131.159.56.114
131.159.56.163
131.159.56.216
131.159.56.217
131.159.56.229
131.159.58.57
131.159.58.126
131.159.74.53
131.159.74.54
131.159.74.55
131.159.74.56
131.159.74.57
131.159.74.59
131.159.74.65
131.159.252.154
Mit freundlichen Grüßen,
Andreas Paul
Rechnerbetriebsgruppe der Fakultäten Mathematik und Informatik
---- Weitergeleitete Nachricht von MWN/LRZ Abuse Response Team abuse@lrz.de ¶
Von: MWN/LRZ Abuse Response Team abuse@lrz.de
An: Netzverantwortliche des MWN netz@lists.lrz.de
Cc: MWN/LRZ Abuse Response Team abuse@lrz.de
ReplyTo: MWN/LRZ Abuse Response Team abuse@lrz.de
Betreff: [Zur Info: Urgent] DFN-CERT#2014-374066 - NTP-Server Schwachstelle
Datum: 2014-01-14 16:21:03
Liebe Kolleginnen und Kollegen,
auf über 500 (!) Rechnern des Münchner Wissenschaftsnetzes läuft ein
NTP-Dienst, der für schwere Denial-of-Service-Angriffe missbraucht
werden kann.
Im Laufe der letzten Stunden haben uns die Kollegen vom DFN-CERT
([1]http://www.lrz.de/services/security/dfn-cert/) entsprechend viele
Hinweis-Mails geschickt.
Wegen der großen Zahl können wir die individuellen Hinweise nicht so
schnell weiterleiten, wie es erforderlich ist; die Lücke wird nämlich
seit Ende Dezember aktiv ausgenutzt.
Unten finden Sie folgendes:
-
Eine der individuellen Warnungen des DFN-CERTs
-
Eine allgemeine Information des DFN-CERTs zu der Schwachstelle
Weitere Informationen finden Sie auch noch beim originalen Advisory:
NTP can be abused to amplify denial-of-service attack traffic
[2]http://www.kb.cert.org/vuls/id/348126
Falls Ihr lokaler NTP-Dienst nicht von mehreren Rechnern in ihrer
Umgebung genutzt sind, sollten sie bei der Konfiguration restriktiver
vorgehen als in der DFN-CERT-Warnung vorgeschlagen:
restrict localhost
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
Alternativ zum Betrieb eines eigenen NTP-Servers können Sie auch den
entsprechenden Dienst des LRZ nutzen:
NTP-Zeitserver im MWN
[3]http://www.lrz.de/services/netzdienste/ntp/
Bitte nehmen Sie die Warnung ernst.
Vielen Dank für Ihre Mithilfe.
Mit freundlichen Grüßen
Ernst Bötsch
--
+-------------------------------------------------------+
| MWN/LRZ Abuse Response Team |
| |
| E-Mail: abuse@lrz.de | Leibniz-Rechenzentrum |
| Tel.: (089) 35831-8800 | Boltzmannstraße 1 |
| Fax: (089) 35831-9700 | D-85748 Garching |
+-------------------------------------------------------+
########################################################################
########################################################################
----- Forwarded message from dfncert@dfn-cert.de -----
Date: Tue, 14 Jan 2014 12:39:12 +0100
From: dfncert@dfn-cert.de
To: abuse@lrz.de
Subject: DFN-CERT#2014-374066 - NTP-Server Schwachstelle
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Liebe Kolleginnen und Kollegen,
wir erhielten die Information, dass ein von Ihrer Einrichtung betriebener
NTP-Dienst (ntpd oder auch andere Appliances) für eine aktuelle
Schwachstelle verwundbar ist und für Denial-of-Service-Angriffe gegen andere
Systeme/Einrichtungen ausgenutzt werden kann:
Logs:
IP-Adresse - Zeitstempel
<> - 2014-01-05 20:19:18+01
Der Zeitstempel ist in CET / GMT+01 angegeben.
Die Schwachstelle beruht darauf, dass der ntpd bis vor Version 4.2.7p26 auf
die
Anfragen REQ_MON_GETLIST oder REQ_MON_GETLIST_1 mit einer Liste von bis zu 600
Hosts antwortet, die den NTP-Dienst kontaktiert haben (siehe [1], [2], [3]).
Dies
kann ein entfernter Angreifer mit einer kleinen Anfrage mit einer gefälschten
Quell-IP (die IP-Adresse des anzugreifenden Systems) an einen verwundbaren
NTP-Dienst ausnutzen, um mit der deutlich größeren Antwort des Dienstes einen
Denial-of-Service-Angriff durchzuführen (Amplification-Attack siehe [4] als
Beispiel).
Sie können mit den folgenden Kommandos kontrollieren, ob Ihr System betroffen
ist:
ntpq -c rv
ntpdc -c sysinfo
ntpdc -n -c monlist
Die Ausgabe gibt an, ob die entsprechenden Funktionen eingeschaltet sind.
Lösung
Ab der ntpd Version 4.2.7p26 sind die Funktionen REQ_MON_GETLIST und
REQ_MON_GETLIST_1 deaktiviert.
Workarounds
für die verwundbaren Versionen 4.2.6.x:
-
Blocken mit Firewall
Sie können den entsprechenden Datenverkehr an ein verwundbares System mit
einer
Firewall blocken bzw. auf bestimmte Netzbereiche einschränken. -
Deaktivierung der Status Anfragen
Sie können verhindern, dass der ntpd die Status Informationen herausgibt und
die Schwachstelle für Angriffe ausgenutzt werden kann. Dafür müssen Sie die
folgende(n) Zeile(n) in der ntp.conf ergänzen. Bitte beachten Sie, dass sich
je nach Betriebssystem und Version die Zeile unterscheiden kann:
für IPV4:
restrict default kod nomodify notrap nopeer noquery
für IPv6:
restrict -6 default kod nomodify notrap nopeer noquery
Wir bearbeiten diesen Vorfall unter der Nummer im Betreff. Da dies ein weit
verbreitetes Problem ist, haben wir sehr viele Einrichtungen angeschrieben.
Sie würden uns einen großen Gefallen tun, wenn Sie uns nur kontaktieren, wenn
Sie Fragen oder Probleme habe oder, um uns über Falsch-Meldungen zu
informieren.
Wir bitten Sie, von Anworten wie "Danke, wir arbeiten daran" abzusehen.
Vielen Dank für Ihre Unterstützung!
Viele Grüße aus Hamburg,
Ihr DFN-CERT
DFN-CERT Services GmbH, [4]https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
[1] [5]https://portal.cert.dfn.de/adv/DFN-CERT-2014-0017/
[2] [6]http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211
[3] [7]http://www.kb.cert.org/vuls/id/348126
[4] [8]http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launchi[..]
----- End forwarded message -----
########################################################################
########################################################################
Date: Tue, 14 Jan 2014 11:20:01 +0000
From: portal@dfn-cert.de
To: win-sec-ssc-l@lists.lrz-muenchen.de
Subject: UPDATE: DFN-CERT-2014-0017 NTP: Missbrauch des monlist
Kommandos ermöglicht einen Denial-of-Service-Angriff
[][Linux][Fedora][RedHat][Unix][AIX][FreeBSD][NetBSD][Windows][Netzwerk]
Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (14.01.2014):
HP und Juniper stellen Informationen über die Schwachstelle bezogen auf
ihre Produkte zur Verfügung.
Version 3 (13.01.2014):
Meinberg stellt Informationen für die Behebung der Ausnutzbarkeit des
monlist Kommandos zur Verfügung.
Version 2 (09.01.2014):
NetBSD behebt in den Sourcen vom 27.12.2013 und für die aktuellen Branche
ab dem 6.1.2014 die Missbrauchsmöglichkeit.
Version 1 (07.01.2014):
Neues Advisory
Betroffene Software:
NTP < 4.2.7
Betroffene Plattformen:
LANTIME
Oracle Solaris
Apple Mac OS X
FreeBSD
GNU/Linux GNU/Linux
HP-UX family of operating systems 11.31
IBM AIX
Juniper JUNOS
Microsoft Windows
NetBSD 5.1.2
NetBSD 5.2
NetBSD 6.0.2
NetBSD 6.1
Red Hat Fedora
Red Hat Linux
Der Missbrauch des monlist Kommandos ermöglicht es einem entfernten, nicht
authentifizierten Angreifer durch Fälschen der Absenderadresse einen
Denial-of-Service-Angriff durchzuführen. Es wird ein Update auf Version
4.2.7 oder höher empfohlen.
Aufgrund des Verhältnisses von einer kleinen Anfrage (1 UDP Paket) zu einer
sehr großen Antwort (max. 600 IP Adressen) wird von einem Verstärker
(Amplifier) Angriff gesprochen. Das Feature wird seit Dez. 2013 aktiv für
DDoS Angriffe ausgenutzt.
Workaround:
Wenn ein Update auf Version 4.2.7 oder höher nicht möglich ist, kann auch
die Option "noquery" in der Konfigurationsdatei gesetzt werden, die nach
einem Neustart des Dienstes wirksam wird und eine Verarbeitung der Anfrage
unterbindet.
Patch:
NetBSD Security Advisory 2014-002
<[9]http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-002.txt.[..]>
Patch:
Meinberg Security Advisory MBGSA-1401
<[10]http://www.meinbergglobal.com/english/news/meinberg-security-advisory-mbgsa[..]>
Patch:
HP Herstelleradvisory HPSBUX02960
<[11]https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_[..]>
Patch:
Juniper Security Advisory JSA10613
<[12]http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&actp=RSS>
CVE-2013-5211: Missbrauch des monlist Features in NTP
Das monlist Feature in NTP sendet als Antwort auf die Anfragen
REQ_MON_GETLIST oder REQ_MON_GETLIST_1, eine Liste der letzten 600 Hosts,
die den NTP Host kontaktiert haben, an den anfragenden Host.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<[13]https://portal.cert.dfn.de/adv/DFN-CERT-2014-0017/>
Schwachstelle CVE-2013-5211 (Red Hat):
<[14]https://access.redhat.com/security/cve/CVE-2013-5211>
Schwachstelle CVE-2013-5211 (NVD):
<[15]http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211>
[oss-security] 20131230 CVE to the ntp monlist DDoS issue?:
<[16]http://openwall.com/lists/oss-security/2013/12/30/6>
NetBSD Security Advisory 2014-002:
<[17]http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-002.txt.[..]>
Meinberg Security Advisory MBGSA-1401:
<[18]http://www.meinbergglobal.com/english/news/meinberg-security-advisory-mbgsa[..]>
HP Herstelleradvisory HPSBUX02960:
<[19]https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_[..]>
Juniper Security Advisory JSA10613:
<[20]http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&actp=RSS>
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
---- Ende der weitergeleiteten Nachricht ---
[1] http://www.lrz.de/services/security/dfn-cert/
[2] http://www.kb.cert.org/vuls/id/348126
[3] http://www.lrz.de/services/netzdienste/ntp/
[4] https://www.dfn-cert.de
[5] https://portal.cert.dfn.de/adv/DFN-CERT-2014-0017/
[6] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211
[7] http://www.kb.cert.org/vuls/id/348126
[8] http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks
[9] http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-002.txt.asc
[10] http://www.meinbergglobal.com/english/news/meinberg-security-advisory-mbgsa-1401-ntp-monlist-network-traffic-amplification-attacks.htm
[11] https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04084148
[12] http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&actp=RSS
[13] https://portal.cert.dfn.de/adv/DFN-CERT-2014-0017/
[14] https://access.redhat.com/security/cve/CVE-2013-5211
[15] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211
[16] http://openwall.com/lists/oss-security/2013/12/30/6
[17] http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-002.txt.asc
[18] http://www.meinbergglobal.com/english/news/meinberg-security-advisory-mbgsa-1401-ntp-monlist-network-traffic-amplification-attacks.htm
[19] https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04084148
[20] http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&actp=RSS
[Created via e-mail received from: RBG-Informatik Systemgruppe rbg-system@in.tum.de]
No data to display