در ماه ژانویه، سیسکو دستهای از وصلههای ویژهی NTP (پروتکل زمان شبکه) را منتشر کرد؛ حال به نظر میرسد که تحقیقات انجامشده در خصوص آن وصلهها موجب کشف خطاهای دیگری شده است که تاکنون رفع نشدهاند.
این هفته، مت گاندی و جاناتان گاردنر از سیسکو با همکاری تیمی از دانشگاه بوستون، حملات احتمالی علیه پروتکل دیتاگرام NTP را به تصویر کشیدند.
خبر بد این است که این گروه نتیجه گرفتند در حال حاضر میلیونها آدرس IP آسیبپذیر هستند.
اما یک خبر خوب هم برایتان داریم؛ این پروتکل ثباتپذیر است، و محققان کارگروه مهندسی اینترنت (IETF) را به پذیرش یک مدل رمزنگاری برای پروتکلهای NTP سرویسگیرنده/کارگزار بهتر تشویق مینمایند.
بازی دادن کاربران با پروتکل NTP بستری برای وقوع حمله است، چرا که میتواند محاسبات رمزنگاری را بر هم بزند، زمان را به عقب برگرداند، یا حملات انسداد سرویس را رقم بزند.
حملات بیشماری علیه NTP از نوع حملههای مرد میانی هستند.
سیسکو و دانشگاه بوستون نشان دادند که یکی از آسیبپذیریها با شناسهی CVE-۲۰۱۵-۸۱۳۸ در ماه ژانویه توسط سیسکو رفع شد، و در نسخههای بعدی از دیمن۱ NTP نیز برطرف شد.
آسیبپذیریهای مورد بحث به این خاطر وجود دارند که RFC ۵۹۰۵، که NTP را تعریف نموده، یک مشکل اساسی داشته است: «حالت سرویسگیرنده/کارگزار و نیز حالت متقارن، ملزومات امنیتی متضادی داشتهاند؛ در این شرایط، RFC۵۹۰۵ پردازش یکسانی را برای هر دو حالت پیشنهاد میدهد.»
آسیبپذیریهای مورد بحث عبارتند از:
یک مورد حملهی انسداد سرویس علیه (حالت لایه۲) دیمن NTP (مقید به تهیهی برچسبهای زمانی دقیقتر)
و حملات تغییر زمان۳ که تاکنون اصلاح نشده است.
اما از آنجاییکه این آسیبپذیریها مربوط به پروتکل هستند، اصلاح NTP توسط محققان بسیار مهمتر است. آنها پیشنهاد کردهاند که مدل کنونی با مدلی عوض شود که از رمزنگاری بیشتری در آن استفاده شده است.
این گروه پژوهشگر به مدیران شبکه گوشزد کردهاند که دیوار آتش و سرویسگیرندههای NTP میبایست تمامی کوئریهای کنترلی NTP را که از IPهای ناخواسته وارد میشوند، مسدود نمایند.
ثبت نظر