PDA

Ver la versión completa : Vulnerabilidad NTP en dispositivos Cisco



{^JaB3^}
13-05-2003, 09:41
Vulnerabilidad NTP en dispositivos Cisco


Todos las versiones del software IOS de los dispositivos Cisco se ven
afectadas por una vulnerabilidad en el demonio que procesa las
peticiones NTP. El problema reside en una condición de desbordamiento de
bufer de forma remota en el demonio NTP.
NTP es un protocolo estándar para la sincronización de relojes de
máquinas interconectadas a través de redes de datos, en particular
Internet. Este protocolo permite que el reloj de un sistema mantenga una
gran precisión, independientemente de su calidad intrínseca y de las
condiciones de la red.

Si un atacante consigue explotar con éxito esta vulnerabilidad podrá
ejecutar código malicioso en la máquina vulnerable o de forma más
probable conseguir que el dispositivo se cuelgue.

Cisco proporciona actualizaciones de Cisco IOS para evitar este
problema.

También existen una serie de contramedidas recomendadas para paliar los
efectos de este problema.

* Impedir a IOS el proceso de peticiones NTP. Esto puede realizarse
mediante el siguiente comando:

ntp access-group serve-only

* Emplear NTP con autenticación. Se puede activar esta característica en
todos las partes y servidores participantes. Esto puede realizarse de la
siguiente forma:

ntp authentication-key 20 md5 llave_NTP
ntp authenticate<bR>
ntp trusted-key 20

Nota: La llave debe ser la misma en todas las partes participantes.

* Es posible mitigar el riesgo mediante el uso de ACLs y eliminando
todos los paquetes NTP que no provengan de servidores legítimos. Esto
puede realizarse de la siguiente forma:

access-list 10 permit 1.2.3.4
access-list 10 permit 5.6.7.8
access-list 10 deny any any
!
ntp access-group peer 10

1.2.3.4 y 5.6.7.8 son direcciones de las partes y servidores desde los
que los paquetes NTP serán aceptados.

* Si no se hace uso de servidores NTP externos a la red, se pueden
eliminar todos los paquetes NTP exteriores al perímetro de la red. Esto
puede realizarse de la siguiente forma:

access-list 101 deny udp any any eq ntp



Más Información:

Cisco Security Advisory: NTP Vulnerability
http://www.cisco.com/warp/public/707/NTP-pub.shtml