O CIS (Center for Internet Security) tem alertado sobre possíveis atos maliciosos, que começaram a utilizar servidores NTP mal configurados e publicamente disponíveis em ataques de amplificação. Estes ataques exploram um traço do protocolo NTP chamado monlist. Quando emitido, o comando retornará os últimos 600 endereços IP que se comunicaram com o servidor NTP. Utilizando a natureza “stateless” do protocolo UDP, atacantes podem falsificar o endereço IP de origem de um pacote com um pedido monlist NTP para qualquer alvo que escolherem.
Existe um script do NSE – script-monlist – que pode ser usado para enviar um código de pedido MON_GETLIST a um servidor NTP verificando se o mesmo suporta esta consulta. O script demonstra o tipo de dado que um servidor NTP responde quando se depara com o pedido MON_GETLIST.
As organizações podem evitar que seus servidores NTP participem destes tipos de ataques DRDoS, garantindo que seus servidores sejam configurados de maneira correta para impedir a exploração desta vulnerabilidade. A opção “noquery” impede despejo de informações de status ntpd que inclui a restrição da consulta monlist. Versões anteriores ao 4.2.7p26 de ntp.org ‘s de servidores NTP estão vulneráveis a estes ataques.
Confira a notícia completa aqui! 😀