Работники нашли в протоколе NTP серьёзные уязвимости

Сотрудники ICS-CERT обязаны быстро реагировать на любые киберугрозы в сфере промышленных программных систем. На этот Работники ICS-CERT должны быстро замечать любые атаки в области промышленных программных систем. Их внимание привлекла большая ошибка, замеченная в применении протокола NTP. Версии 4.2.8 и ниже уязвимы к подобным атакам, в новых версиях неисправность была уже закрыта. В анализе проблемы огромную работу выполнили работники Google, изучившие многие промышленные системы с протоколом NTP.

В главном докладе ICS-CERT заявили, что уязвимость могла применяться благодаря возможности загрузки произвольного кода в режиме ntpd-процессов. Потому что нужные эксплоиты доступны на многих сетевых ресурсах, использовать их сможет любой человек. Для этого не нужно каких-то специальных хакерских знаний, хватит базового уровня понимания. Реальных фактов использования бреши выявлено не было.

Специалисты из Google Neel Mehta и Stephen Roettger заявляют, что три из найденных уязвимостей эксплуатируют переполнение буфера. Также немалой проблемой была слабая случайная генерация чисел, выбранная в NTP. Ещё одна уязвимость носит менее опасный характер. В обновлении потребовалось улучшить ключ для генерации по умолчанию, применяя более лучший и трудный для обнаружения алгоритм.

Что касается рекомендаций по обновлению системы, то работники ICS-CERT предупреждают сетевых администраторов о важности протестировать патч на независимом компьютере, а также свести взаимодействие с Сетью к минимуму. Рекомендуется применять межсетевой экран, с взарание сделанной копией данных, с которыми будут работать. Это же касается и системы управления, применяемых в больших промышленных компаниях.