O CIS (Center for Internet Security) tem alertado sobre possíveis atos maliciosos,  que começaram a utilizar servidores NTP mal configurados e publicamente  disponíveis em ataques de amplificação. Estes ataques exploram um traço do  protocolo NTP chamado monlist. Quando emitido, o comando retornará os últimos  600 endereços IP que se comunicaram com o servidor NTP. Utilizando a natureza  “stateless” do protocolo UDP, atacantes podem falsificar o endereço IP de origem  de  um pacote com um pedido monlist NTP para qualquer alvo que escolherem.

Existe um script do NSE – script-monlist – que pode ser usado para enviar um código  de pedido MON_GETLIST a um servidor NTP verificando se o mesmo suporta esta  consulta. O script demonstra o tipo de dado que um servidor NTP responde quando  se depara com o pedido MON_GETLIST.

As organizações podem evitar que seus servidores NTP participem destes tipos de ataques DRDoS, garantindo que seus servidores sejam configurados de maneira correta para impedir a exploração desta vulnerabilidade. A opção “noquery” impede despejo de informações de status ntpd que inclui a restrição da consulta monlist. Versões anteriores ao 4.2.7p26 de ntp.org ‘s de servidores NTP estão vulneráveis a estes ataques.

Confira a notícia completa aqui! 😀