Weniger NTP-Server für dDoS ausnutzbar, aber…

Gepostet am Jun 27, 2014

Die noch verwundbaren Zeitserver sind aber zum Teil so schlecht konfiguriert, dass verheerende NTP-Verstärkungsangriffe nach wie vor möglich sind.

Die Sicherheitsfirma NSFocus hat zum wiederholten Male das öffentliche Netz nach Zeitservern abgesucht, die für NTP-dDoS-Attacken missbraucht werden können. Zwar ist die Anzahl der verwundbaren Server im Vergleich zu vorherigen Messungen weiter gefallen, die Anzahl von Systemen, die eine große Verstärkung des Datenverkehrs ermöglichen, ist aber nach wie vor noch zu hoch. Bei solchen Verstärkungs-Angriffen kann ein Angreifer seinen Datenstrom mit Hilfe eines schlecht konfigurierten Servers zum Teil verhundertfachen.

Beim ersten Scan im Dezember fand NSFocus 432.120 verwundbare NTP-Server. Der aktuelle Scan fand hingegen nur noch 17.647. Diese Reduzierung auf unter fünf Prozent des Ausgangswertes ist durchaus bemerkenswert. In der Regel ist die Zahl der Serverbetreiber, die Sicherheitspatches einspielen, viel kleiner. Ein Wermutstropfen aber bleibt: Die Anzahl der Server, die eine 700-fache Verstärkung oder mehr ermöglichen, seit Dezember von 1224 auf 2121 Server gestiegen. Zwischenzeitlich gab es auch mal über 3000 dieser Server, so dass die Tendenz im Allgemeinen fallend ist. Diese besonders problematischen Server antworten auf den Befehl monlist mit der kompletten Liste der Systeme, mit denen sie zum Zwecke der Zeitsynchronisierung kommuniziert haben. Diese Daten prasseln dann auf das Opfer des DDoS-Angriffes ein.

NTP-Server
Die Hauptverdächtigen: Diese NTP-Server verstärken eingehenden Traffic mehr als 700-fach Vergrößern
Bild: NSFocus

NTP-Verstärkungsangriffe sind nicht nur wegen dieser Datenflut so ein Problem, sondern auch weil sich der Angreifer hinter den verwundbaren NTP-Servern verstecken kann. Die Entwickler des NTP-Dienstes haben das Problem erkannt und mit Version 4.2.7p26 das Ausnutzen der monlist-Schwachstelle erheblich erschwert. Die Studie von NSFocus zeigt allerdings, dass viele Serverbetreiber noch nicht reagiert haben und Angreifern weiterhin die Möglichkeit geben, ihre Server zu missbrauchen. (fab)

sehr wichtig einige Ideen

Verwandte Beiträge