Scoperte gravi vulnerabilità nel protocollo NTP

Due ricercatori del Google Security Team, Neel Mehta e Stephen Roettger, hanno scoperto diverse vulnerabilità nel Network Time Protocol (NTP), usato per sincronizzare gli orologi di tutti i computer connessi ad Internet. Il problema non è associato all’eventuale errata indicazione dell’ora, ma alla possibilità concreta di subire attacchi DDoS (Distributed Denial of Service) che possono bloccare il funzionamento di siti e servizi in esecuzione sui server.

Le vulnerabilità sono presenti in tutte le versioni di NTP precedenti alla 4.2.8 e potrebbero essere sfruttate per eseguire codice remoto con i privilegi del processo ntpd, il demone che mantiene l’orologio di sistema sincronizzato con quello dei server. Non è chiaro quali privilegi vengano assegnati al processo su un server ma, anche se i diritti fossero limitati, spesso i cybercriminali combinano più exploit per effettuare attacchi di “privilege elevation”, grazie ai quali ottengono il pieno controllo della macchina target.

Secondo il Control Systems Cyber Emergency Response Team, le vulnerabilità possono essere sfruttate facilmente anche da cracker con competenze minime. La loro gravità è associata al fatto che il protocollo NTP può essere usato per eseguire i cosiddetti “reflection attack”. NTP è stato recentemente utilizzato come tool per attacchi DDoS con un fattore di amplificazione pari a 1000. È sufficiente un singolo pacchetto per causare l’overflow del buffer ed eseguire codice infetto sul server.

Per evitare problemi è consigliabile installare al più presto la versione 4.2.8 di NTP, disponibile sul sito NTP.org. Molte software house hanno già provveduto a rilasciare un aggiornamento (il protocollo è open source). Apple ha sfruttato per la prima volta gli update automatici per aggiornare OS X.