Ataque de Amplificación NTP

En una comunicación basada en protocolo UDP y por motivos de rendimiento, los datos se envían y se reciben sin verificar la conexión con el origen o destino de la misma y se da por hecho la correcta entrega o recepción de datos. Gracias a esta carencia de verificación es posible modificar direcciones IP en un flujo de tráfico y mantener su validez. Esto da pie a una práctica conocida como “IP spoofing”, cuyo objetivo es suplantar el emisor de una comunicación. La técnica, aplicada en este caso concreto al protocolo NTP consta de los siguientes pasos:

  1. Falsificación de IP (IP spoofing). El atacante construye consultas NTP y antes de su envío, sustituye la IP de origen de los datagramas con la IP del objetivo. Así se consigue que todas las respuestas se dirijan a la víctima en lugar de regresar al propio origen atacante (Reflexión)
  2. Consulta NTP de monitorización a servidores vulnerables. Escogiendo una consulta específica para labores de monitorización del servidor, se provoca una respuesta de los servidores NTP de tamaño mucho mayor que la consulta en sí (Amplificación). Estas consultas, con la IP de origen manipulada para suplantar la IP del objetivo y dirigida al mayor número de servidores NTP posible conseguirá “reflejar” un gran volumen de tráfico hacia la víctima.

Además de la debilidad intrínseca de UDP, que posibilita el efecto de reflexión falsificando la IP origen del paquete, existe una funcionalidad de monitorización de NTP que proporciona el efecto de amplificación de la respuesta. Esta funcionalidad está presente en servidores NTP con versión anterior a 4.2.7p26. Así, al hacer una consulta a un servidor no actualizado con el comando de monitorización monlist se consigue que éste responda con la lista de las últimas máquinas con que las cuales ha interaccionado (hasta 600). Obviamente, esta respuesta puede ser bastante grande en relación a la propia consulta. Esta funcionalidad se ha considerado como una vulnerabilidad del protocolo y se le asocia el CVE-2013-5211.

De forma análoga al caso DNS, NTP un protocolo que se trasmite sobre UDP, se convierte en  una herramienta que posibilita crear ataques de denegación de servicio de forma relativamente sencilla, con poco esfuerzo y recursos. La potencia de esta modalidad de ataque se ve de nuevo favorecida en la mala praxis aplicada en  gran cantidad de servidores NTP accesibles, desactualizados o mal configurados.

Siguiendo la línea de la propuesta que nació para concienciar sobre el problema en el caso DNS, se ha creado la iniciativa openntpproject donde se puede comprobar si un servidor es vulnerable, o si en un determinado segmento de red se hallan servidores NTP igualmente vulnerables. Un buen momento para que administradores de sistemas o responsables de servicios NTP revisen la configuración de sus servidores, y evitar en la medida que les corresponde convertirse en “cómplices involuntarios” de ataques DoS.

Entradas relacionadas

Dejar un Comentario