Pesanti attacchi DDoS causati da NTP reflection sulla rete GARR
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-14001
Data : 13 Febbraio 2014
Titolo : Pesanti attacchi DDoS causati da NTP reflection
sulla rete GARR
******************************************************************
In questi ultimi giorni la rete GARR sta subendo numerosi e ripetuti
tentativi di attacchi DDoS che sfruttano una vulnerabilita' di
configurazione del protocollo NTP (Network Time Protocol) che consente
la riflessione moltiplicata dei pacchetti causando DoS e DDoS sulla rete.
Ai fini di mitigare l'attacco, che potrebbe saturare facilmente la banda
e impedire di fatto tutte le connessioni, vi preghiamo di leggere le
istruzioni sotto riportate e apportare tutte le modifiche necessarie
nella vostra rete di competenza. L'attacco sfrutta principalmente
vulnerabilita' di configurazione in router e switch, specialmente quelli
di accesso alla rete GARR, che sono particolarmente strategici per la
connettivita' generale di un ente. Sono sfruttati, anche se in misura
minore, anche i singoli host della rete che hanno il protocollo NTP
attivato (e configurato di "default").
Istruzioni:
L'attacco si basa sul protocollo ntp: l'aggressore invia
pacchetti con IP sorgente falso che interrogano (comando monlist)
i vostri server sulla porta 123.
Il traffico di risposta e' molto maggiore dell'interrogazione
(amplificazione fino a 200 volte) e viene inviato alla vittima anche su
porte diverse dalla 123.
NOTA BENE: l'attacco funziona anche in IPv6, per cui e' opportuno
provvedere al filtraggio anche in IPv6 qualora l'host interessato sia dual stack
NOTA BENE 2: Gli host interessati possono essere anche router,
per cui le azioni possibili sono diverse.
***************************************************************
Cosa fare se il server e' un router con il servizio ntp attivo
***************************************************************
- - si puo' disabilitare il servizio ntp (anche solo temporaneamente per
riguadagnare accesso al router nel caso in cui la cpu e' in saturazione)
- - si puo' restringere il traffico ntp alle interrogazioni verso soli
server leciti e non affetti dal ddos (vedi oltre)
- - si puo' configurare un filtro sul control plane in modo da non dover
processare il traffico da tutti i server con cui il router non deve
scambiare traffico ntp
In caso di necessita' potete contattare il GARR-NOC
noc@garr.it 06 49622550
Esempi
- - configurare una ACL specifica sul router per restringere l'accesso
alla porta ntp incoming (udp 123) solo ai server ntp trusted che
utilizzate per sincronizzare. Se decidete di proteggere con la ACL
l'intera LAN, ricordatevi di includere nella lista anche quei server
che spesso sono preconfigurati sui PC/Mac, per esempio quelli della
Apple (time.euro.apple.com) per indrizzo IP. Esempi nei link sotto.
esempio di alcuni trusted ntp server:
INRIM Apple
193.204.114.232 17.72.148.52
193.204.114.233 17.72.148.53
- - per i router/switch con JunOS:
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&actp=SUBSCRIPTION
- - per i router/switch CISCO:
http://cert.garr.it/documentazione/files-e-docs/doc_download/18-distributed-reflective-denial-of-service-vulnerability-on-ntp-server
http://cert.garr.it/documentazione/files-e-docs/doc_download/17-mxe-3500-cve-2013-5211-allowing-info-to-be-sent-about-server
http://cert.garr.it/documentazione/files-e-docs/doc_download/16-cisco-ios-software-ntp-xe-control-mode-7-vulnerability
http://cert.garr.it/documentazione/files-e-docs/doc_download/15-cisco-ios-software-ntp-control-mode-7-vulnerability
http://cert.garr.it/documentazione/files-e-docs/doc_download/14-cucm-distributed-denial-of-service-vulnerability-on-ntp-server
***************************************************************
Cosa fare se il server e' un host con il servizio ntp attivo
***************************************************************
per gli host, aggiornare il demone ntp almeno alla versione 4.2.7p26 e/o
aggiungere queste righe alla configurazione
restrict default noquery
restrict localhost
restrict 192.168.0.0 netmask 255.255.0.0
la terza riga ovviamente va modificata.
Riferimenti:
Understanding and mitigating NTP-based DDoS attacks (by John Graham-Cumming)
http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks
DRDoS / Amplification Attack using ntpdc monlist command
http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using
Team Cymru - Secure NTP Template
https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
Vulnerability Summary for CVE-2013-5211
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211
CERT/CC Vulnerability Note VU#348126 - NTP can be abused to amplify
denial-of-service attack traffic
http://www.kb.cert.org/vuls/id/348126
Juniper - Mitigation of NTP amplification attacks involving JunOS
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&actp=SUBSCRIPTION
Cisco Network Time Protocol Distributed Reflective Denial of Service
Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-5211
US-CERT Alert (TA14-013A) - NTP Amplification Attacks Using CVE-2013-5211
https://www.us-cert.gov/ncas/alerts/TA14-013A
NTP DoS reflection attacks by Patrikas Kugrinas
https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks
Hackers Spend Christmas Break Launching Large Scale NTP-Reflection
Attacks
http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
iEYEARECAAYFAlL8/t4ACgkQwZxMk2USYEK0lwCg19OY3GOeKNySDRE3JV8XwgyC
GlsAn0czwTGSM8si8zBY+NjhaErFklsO
=LDdy
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-14001
Data : 13 Febbraio 2014
Titolo : Pesanti attacchi DDoS causati da NTP reflection
sulla rete GARR
******************************************************************
In questi ultimi giorni la rete GARR sta subendo numerosi e ripetuti
tentativi di attacchi DDoS che sfruttano una vulnerabilita' di
configurazione del protocollo NTP (Network Time Protocol) che consente
la riflessione moltiplicata dei pacchetti causando DoS e DDoS sulla rete.
Ai fini di mitigare l'attacco, che potrebbe saturare facilmente la banda
e impedire di fatto tutte le connessioni, vi preghiamo di leggere le
istruzioni sotto riportate e apportare tutte le modifiche necessarie
nella vostra rete di competenza. L'attacco sfrutta principalmente
vulnerabilita' di configurazione in router e switch, specialmente quelli
di accesso alla rete GARR, che sono particolarmente strategici per la
connettivita' generale di un ente. Sono sfruttati, anche se in misura
minore, anche i singoli host della rete che hanno il protocollo NTP
attivato (e configurato di "default").
Istruzioni:
L'attacco si basa sul protocollo ntp: l'aggressore invia
pacchetti con IP sorgente falso che interrogano (comando monlist)
i vostri server sulla porta 123.
Il traffico di risposta e' molto maggiore dell'interrogazione
(amplificazione fino a 200 volte) e viene inviato alla vittima anche su
porte diverse dalla 123.
NOTA BENE: l'attacco funziona anche in IPv6, per cui e' opportuno
provvedere al filtraggio anche in IPv6 qualora l'host interessato sia dual stack
NOTA BENE 2: Gli host interessati possono essere anche router,
per cui le azioni possibili sono diverse.
***************************************************************
Cosa fare se il server e' un router con il servizio ntp attivo
***************************************************************
- - si puo' disabilitare il servizio ntp (anche solo temporaneamente per
riguadagnare accesso al router nel caso in cui la cpu e' in saturazione)
- - si puo' restringere il traffico ntp alle interrogazioni verso soli
server leciti e non affetti dal ddos (vedi oltre)
- - si puo' configurare un filtro sul control plane in modo da non dover
processare il traffico da tutti i server con cui il router non deve
scambiare traffico ntp
In caso di necessita' potete contattare il GARR-NOC
noc@garr.it 06 49622550
Esempi
- - configurare una ACL specifica sul router per restringere l'accesso
alla porta ntp incoming (udp 123) solo ai server ntp trusted che
utilizzate per sincronizzare. Se decidete di proteggere con la ACL
l'intera LAN, ricordatevi di includere nella lista anche quei server
che spesso sono preconfigurati sui PC/Mac, per esempio quelli della
Apple (time.euro.apple.com) per indrizzo IP. Esempi nei link sotto.
esempio di alcuni trusted ntp server:
INRIM Apple
193.204.114.232 17.72.148.52
193.204.114.233 17.72.148.53
- - per i router/switch con JunOS:
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&actp=SUBSCRIPTION
- - per i router/switch CISCO:
http://cert.garr.it/documentazione/files-e-docs/doc_download/18-distributed-reflective-denial-of-service-vulnerability-on-ntp-server
http://cert.garr.it/documentazione/files-e-docs/doc_download/17-mxe-3500-cve-2013-5211-allowing-info-to-be-sent-about-server
http://cert.garr.it/documentazione/files-e-docs/doc_download/16-cisco-ios-software-ntp-xe-control-mode-7-vulnerability
http://cert.garr.it/documentazione/files-e-docs/doc_download/15-cisco-ios-software-ntp-control-mode-7-vulnerability
http://cert.garr.it/documentazione/files-e-docs/doc_download/14-cucm-distributed-denial-of-service-vulnerability-on-ntp-server
***************************************************************
Cosa fare se il server e' un host con il servizio ntp attivo
***************************************************************
per gli host, aggiornare il demone ntp almeno alla versione 4.2.7p26 e/o
aggiungere queste righe alla configurazione
restrict default noquery
restrict localhost
restrict 192.168.0.0 netmask 255.255.0.0
la terza riga ovviamente va modificata.
Riferimenti:
Understanding and mitigating NTP-based DDoS attacks (by John Graham-Cumming)
http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks
DRDoS / Amplification Attack using ntpdc monlist command
http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using
Team Cymru - Secure NTP Template
https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
Vulnerability Summary for CVE-2013-5211
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211
CERT/CC Vulnerability Note VU#348126 - NTP can be abused to amplify
denial-of-service attack traffic
http://www.kb.cert.org/vuls/id/348126
Juniper - Mitigation of NTP amplification attacks involving JunOS
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&actp=SUBSCRIPTION
Cisco Network Time Protocol Distributed Reflective Denial of Service
Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-5211
US-CERT Alert (TA14-013A) - NTP Amplification Attacks Using CVE-2013-5211
https://www.us-cert.gov/ncas/alerts/TA14-013A
NTP DoS reflection attacks by Patrikas Kugrinas
https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks
Hackers Spend Christmas Break Launching Large Scale NTP-Reflection
Attacks
http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
iEYEARECAAYFAlL8/t4ACgkQwZxMk2USYEK0lwCg19OY3GOeKNySDRE3JV8XwgyC
GlsAn0czwTGSM8si8zBY+NjhaErFklsO
=LDdy
-----END PGP SIGNATURE-----