Google安全研究人員最近發(fā)現(xiàn)，NTP協(xié)議(網絡時間協(xié)議)出現(xiàn)了一些新的嚴重漏洞，NTP 4.2.8之前的版本均受影響，黑客可以利用這些漏洞展開遠程攻擊。

[[125141]]

NTP 4.2.8以前版本均受影響

NTP協(xié)議是用于計算機系統(tǒng)之間的一個網絡時間同步協(xié)議。

在NTP 4.2.8之前的版本都會受到此次漏洞影響影響。更為嚴重的是，研究人員已經真實環(huán)境下發(fā)現(xiàn)了真實攻擊案例以及相應的漏洞利用程序(EXP)。在這一系列NTP協(xié)議的漏洞里，包括了遠程緩沖區(qū)溢出等嚴重問題，黑客可以輕松地將這些使用老版本NTP服務的服務器黑掉。

漏洞利用程序(EXP)已在地下流傳

ICS-CERT(工業(yè)控制應急響應中心)顧問稱：

“Google安全研究小組成員Neel Mehta和Stephen Roettger曾與CERT/CC合作研究NTP協(xié)議的多個漏洞。由于NTP協(xié)議在工控系統(tǒng)中廣泛使用，NCCIC/ICS-CERT向美國重要基礎設施資產管理者和客戶進行預警，同時希望盡快找出修復或緩解措施。”

漏洞可以被遠程利用，漏洞利用程序(EXP)也已經在地下黑市廣為流傳。黑客只需要發(fā)送單一的數(shù)據包，就可以對NTP緩沖區(qū)溢出進而執(zhí)行惡意代碼，最后對NTPD進程的進行系統(tǒng)權限提升操作。

NTP漏洞的歷史攻擊案例

在之前的攻擊事件中，攻擊者往往利用NTP協(xié)議漏洞進行DDoS攻擊，比如在2013年圣誕節(jié)就曾出現(xiàn)過一系列NTP反射型DDoS攻擊案例。

NTP使用的UDP 123端口包含一個名為monlist模塊，NTP服務器收到monlist請求后最多可以返回100個響應包。因此攻擊者通過偽造受害主機的IP地址，向全網的NTP服務器發(fā)送monlist請求，NTP服務器進而向受害主機返回大量的數(shù)據包，造成其網絡擁塞。這是一種典型的分布式反射拒絕服務(DRDoS)攻擊方式。

在下圖中我們可以看到，約有15000個IP地址使用了NTP協(xié)議進行反射型攻擊，它們似乎屬于一個僵尸網絡。

NTP反射攻擊的放大系數(shù)高達1000，因此深受黑客們喜愛。攻擊者能在成本較低的情況下取得極為良好的攻擊效果。

NTP官網公告

參考來源：securityaffairs，arstechnica