Новые уязвимости в NTP-серверах: даже хуже, чем DDoS
Главная » Новости

Новые уязвимости в NTP-серверах: даже хуже, чем DDoS

Александр Панасенко 23 Января 2015 - 11:20
...

В конце декабря специалисты по безопасности из Google Security Team обнаружили ряд критических уязвимостей в реализации протокола NTP, который используется во многих промышленных системах управления для синхронизации времени на серверах.

Уязвимости, которым подвержены все NTP-сервера до версии 4.2.8, включают несколько вариантов переполнения буфера и позволяют атакующему удалённо выполнять произвольный код на сервере. Как отмечают исследователи, эксплойты для данных уязвимостей уже существуют в публичном доступе.

На скриншоте ниже можно увидеть, как выглядит данная уязвимость NTP в одном из аудитов безопасности, который проводили с помощью системы контроля защищенности и соответствия стандартам MaxPatrol:

 

 

Рекомендации по устранению уязвимостей можно найти в уведомлении ICS-CERT, а также на сайте поддержки NTP. Основной совет - обновить NTP до версии 4.2.8 с официального сайта ntp.org. В случае невозможности обновления предлагается два способа блокировать атаки через настройки конфигурации:

  • Запретить Autokey Authentication путем удаления или комментирования всех тех строк файла ntp.conf, которые начинаются с директивы crypto.
  • Для всех недоверенных клиентов указать в файле /etc/ntp.conf директиву restrict … noquery, что не позволит недоверенным клиентам запрашивать информацию о статусе NTP-сервера.

Судя по опыту прошлых багов NTP, можно прогнозировать, что блокирование новых уязвимостей вряд ли будет происходить быстро. К примеру, в начале прошлого года по Интернету прокатилась мощная волна DDoS-атак с усилением через NTP. Во время такой атаки злоумышленники отправляют на NTP-сервер специальный запрос, а в качестве отправителя подставляют IP-адрес жертвы; NTP-сервер посылает на этот адрес вполне легитимный ответ, который может быть в несколько сот раз длиннее запроса - таким образом, сервер точного времени становится невольным усилителем атаки. Рекомендации CERT по защите от таких атак были опубликованы в январе прошлого года. Однако даже спустя полгода, в июне, насчитывалось ещё 17 тыс. уязвимых NTP-северов, причём многие из них продолжали участвовать в DDoS-атаках, усиливая мусорный трафик в сотни раз.

Следующая главная новость »
AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Вымогатели Everest похвастались кражей 900 Гбайт данных у Nissan
Татьяна Никитина 12 Января 2026 - 17:55
Программы-вымогателиПрограммы-шифровальщикиУтечки информацииУмышленные утечки информацииКража данных Домашние пользователиКорпорации
Вымогатели Everest похвастались кражей 900 Гбайт данных у Nissan

Кибергруппа, стоящая за шифровальщиком Everest, заявила об успешной атаке на Nissan Motor Co., Ltd. и краже 900 Гбайт данных из ее систем. В доказательство злоумышленники опубликовали некие образцы содержимого файлов.

Специалисты проверяют достоверность громкого заявления. Сам японский автопроизводитель пока не подтвердил и не опроверг информацию об инциденте.

Если кража со взломом действительно имела место, это печальная новость для Nissan и ее акционеров. Добыча авторов атаки может содержать проприетарную информацию, конфиденциальную переписку, финансовые и персональные данные клиентов, сотрудников и партнеров компании.

 

Криминальная группировка Everest активна в интернете с 2020 года. Одноименный шифровальщик схож по коду с BlackByte и предоставляется в пользование другим вымогателям как услуга (Ransomware-as-a-Service, RaaS) вместе с возможностью готового доступа к целевым сетям.

Русскоязычные участники Everest и сами используют свое детище, взимая с жертв выкуп в криптовалюте. Они также обычно прибегают к дополнительному шантажу: грозят неплательщикам публикацией данных, которые удалось украсть из их систем.

Свои «подвиги» эта кибергруппа освещает на хакерском форуме XSS, а списки атакованных компаний публикует на своей площадке в даркнете. В апреле 2025 года сайт утечек Everest подвергся дейфейсу — видимо, постарались конкуренты, а минувшим летом заработал вновь.

AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »
Минцифры не одобрило аутентификацию клиентов МФО через банковские сервисы
Новость
Минцифры не одобрило аутентификацию клиентов МФО через банко...
Спрос на ИИ-расшифровку медицинских анализов в России вырос в 8 раз
Новость
Спрос на ИИ-расшифровку медицинских анализов в России вырос...
В России установлен рекорд по блокировке вредоносных сайтов
Новость
В России установлен рекорд по блокировке вредоносных сайтов

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.