کشف ضعف امنیتی در پودمان NTP

طبق اعلام مرکز US CERT، فرمان Monlist در پودمان (Network Time Protocol (NTP آسیب پذیر بوده و امکان اجرای حملات “از کاراندازی سرویس” (DoS) را برای نفوذگران فراهم می سازد.

NTP پودمانی است که بر روی درگاه 123 برای یکسان سازی زمان ماشینهای شبکه مورد استفاده قرار می گیرد. این پودمان یکی از قدیمی ترین پودمان های اینترنتی است. با توجه به ساختار آن، این سرویس تنها یکبار در شبکه پیکربندی می شود و عملاً نیاز به بازبینی مجدد هم ندارد. بنابراین به راحتی می توان اینطور نتیجه گیری کرد که NTP از آن دسته از سرویس هایی است که مدیران شبکه به ندرت پیگیر ارتقا و نصب اصلاحیه های مربوط به آن می شوند.

Monlist فرمانی از راه دور در نگارش های قدیمی NTP است که به درخواست کننده فهرست 600 میزبانی که به سرور متصل شده اند را ارسال می کند.

فرمان Monlist می تواند ابزاری بسیار مؤثر در اولین مرحله حملات سایبری، یعنی مرحله شناسایی (Reconnaissance) باشد. یک سرور محلی NTP می تواند ابزاری برای ایجاد نمایه ای از شبکه هدف باشد. اکثر ابزارهای شناسایی، مانند NMAP، برای جمع آوری اطلاعات بخش Monlist را در خود دارند. همچنین بسیاری از ابزارهای حمله نظیر Metasploit از این ابزار فرمان بهره می گیرند.

آسان ترین راه برای امن کردن سرویس NTP در سازمان، ارتقای آن به نگارش 4.2.7 است. با این به روز رسانی، فرمان Monlist  بطور کامل از سرویس حذف می شود.