พบช่องโหว่บน NTP เสี่ยงถูกโจมตีแบบ DDoS

US-CERT ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ของสหรัฐ ออกมาแจ้งเตือนถึงช่องโหว่สำคัญบน Network Time Protocol (NTP) โปรโตคอลสำหรับซิงค์เวลากับ Time Server ซึ่งอาจก่อให้เกิดการโจมตีแบบ NTP-based DDoS ได้ แนะผู้ใช้งานรีบอัพเดทแพทช์โดยด่วน

หนึ่งในช่องโหว่ระดับรุนแรงสูงนี้ คือช่องโหว่ที่ก่อให้เกิดการโจมตีแบบ NTP-based Amplification DDoS เมื่อ 2 ปีก่อน ซึ่งเป็นการปั๊มแบนด์วิดท์ให้สูงกว่าเดิมหลายเท่าตัวแล้วส่งไปถล่มเป้าหมายที่ต้องการ โดยอาจมีพลังโจมมีสูงได้ถึง 400 Gbps ซึ่งแม้แต่เว็บไซต์ที่มีความมั่นคงปลอดภัยสูงก็อาจไม่สามารถรับมือได้

อีกหนึ่งช่องโหว่ที่น่าสนใจได้รับรายงานมาจาก Cisco คือ ช่องโหว่ Crypto-NAK หยุดให้บริการ หรือบั๊ค DoS ซึ่งทำหน้าที่ตอบกลับจาก NTP Server ในกรณีที่ Server และ Client มี Message Authentication Code ไม่ตรงกัน

นอกจากนี้ นักวิจัยจาก Red Hat ยังค้นพบช่องโหว่อื่นที่เกี่ยวข้องกับ Crypt-NAK ด้วยเช่นกัน ช่องโหว่นี้ช่วยให้แฮ็กเกอร์ที่รู้ Timestamp สามารถปลอม Packet ที่บรรจุ Crypto-NAK ตอบกลับไปยัง Client แทน Server ส่งผลให้การเชื่อมต่อระหว่าง Server และ Client หยุดชะงักลง

สำหรับผู้ที่ใช้ NTP อยู่นั้น ทาง US-Cert แนะนำให้อัพเดทแพทช์ล่าสุด คือ ntp-4.2.8p8 โดยเร็วที่สุด โดยแพทช์นี้จะช่วยอุดช่องโหว่ Amplification DDoS, ช่องโหว่ที่เกี่ยวกับ Crypto-NAK ทั้งหมด และช่องโหว่ของ Client ที่อาจถูกผลักให้เข้าสู่ Interleave Mode

ที่มา: https://threatpost.com/ntp-patches-flaws-that-enable-ddos/118470/