Descubren 11 vulnerabilidades en el protocolo NTP

Alertas

El protocolo NTP es el encargado de gestionar la sincronización de los relojes en las computadoras, servidores, routers y cualquier dispositivo que está conectado a Internet. Tener puesta correctamente la hora en los diferentes sistemas es fundamental, ya que de lo contrario tendremos problemas incluso navegando por Internet. Ahora se han descubierto nuevas vulnerabilidades en este protocolo que podrían permitir modificar el reloj de un sistema e incluso provocar una denegación de servicio.

La lista de vulnerabilidades encontradas es muy amplia, pero según ntp.org, el encargado de gestionar el protocolo NTP y de mantener los servidores para que el resto de dispositivos de Internet se sincronicen, estas vulnerabilidades son de gravedad baja a media.

Una de las vulnerabilidades más destacables está relacionado con el filtrado de paquetes del rango de red 192.0.0.0/8 podría permitir a un atacante que envíe paquetes falsificados modificar el reloj del sistema atacado. Al modificar su reloj, posteriormente se podrían realizar ataques Man In The Middle para descifrar el tráfico HTTPS, aunque las páginas web tengan habilitado HSTS ya que tienen en cuenta el tiempo. Otro aspecto que debemos destacar, es que si por ejemplo cambiamos la fecha a un año hacia atrás haría que el sistema aceptase certificados de seguridad ya revocados, cuya clave privada podría estar comprometida y de esta forma capturar todo el tráfico. Este fallo de seguridad también afectaría a servicios de autenticación como Kerberos o Active Directory, ya que dependen de un reloj en hora para su correcto funcionamiento. A este fallo de seguridad se le ha proporcionado un identificador CVE-2016-1551.

Otra vulnerabilidad muy importante tiene como identificador CVE-2016-1550, este fallo permitiría a un atacante descubrir el valor de la clave compartida por un ataque de fuerza bruta el hash MD5 y examinar el tiempo de los paquetes de crypto-NAK devueltos, una vez conocida esta clave, el atacante podría enviar paquetes NTP que serán autenticados como válidos.

Otro ataque que se podría realizar es contra el proceso ntpd que es vulnerable ante ataques Sybil, este fallo de seguridad tiene identificador CVE-2016-1549 que permitirían la creación de múltiples asociaciones P2P y facilitar la falsificación del reloj del sistema. También se podría forzar a un cliente NTPd que cambie del modo cliente-servidor básico a simétrico, algo que podría permitir a un atacante a cambiar el reloj y también a realizar una denegación de servicio. Este último fallo de seguridad tiene como identificador CVE-2016-1548.

El escenario más grave y preocupante para la seguridad de los equipos es que se podría ibligar a una computadora aceptar un certificado de seguridad que estuviera caducado, por lo que un ataque Man-in-the-Middle sin que el usuario se entere de qué está sucediendo es posible. Otros ataques que se podrían realizar es contra HSTS (HTTP Strict Transport Security), rechazar entregas legítimas de Bitcoins e incluso alterar los sistemas de autenticación de los sitios web de Bitcoin.

El equipo de desarrollo de NTPd ha lanzado una nueva versión 4.2.8p7 que se encuentra disponible en su página web oficial.

Fuente: Redes Zone

Categorías » Alertas
En Mayo 7, 2016
Etiquetas :