Un nuovo tipo di attacco nei confronti del protocollo NTP fa tornare indietro il tempo

Sharon Goldberg, professore associato della facoltà di informatica dell’Università di Boston, si ricorda molto bene di quella fredda giornata di febbraio. La dottoranda Aanchal Malhotra, che stava allora preparando la propria tesi sulla sicurezza del routing, aveva ripetutamente cercato di simulare attacchi nei confronti della RPKI (resource public key infrastructure), non riuscendo tuttavia nel proprio intento, a causa di un problema legato allo svuotamento della cache.

La perseveranza e la determinazione dimostrate da Aanchal erano ormai quasi venute meno, quando, prima che calasse definitivamente il sipario sull’esperimento, la dottoranda decideva di ricorrere ad un ultimo tentativo, il “rollback” dell’orario indicato dal computer. Con grande sorpresa di tutti, la soluzione scelta funzionava davvero. “Sì, era riuscita a riprodurre l’attacco; le ho quindi chiesto cosa avesse realmente fatto, – riferisce Sharon Goldberg. – Aanchal ha risposto che aveva semplicemente cambiato l’orario del computer e, in tal modo, tutto aveva funzionato alla perfezione. Non potevamo, a quel punto, non esclamare ad una sola voce: “Wow!””.

Senza volerlo, la dottoranda Aanchal Malhotra aveva scoperto gravi vulnerabilità nel Network Time Protocol (NTP), il protocollo utilizzato per la sincronizzazione degli orologi interni dei computer nell’ambito di una stessa rete. Un ipotetico attaccante, in posizione di “man-in-the-middle”, avrebbe potuto sfruttare tali vulnerabilità per un’operazione di “rollback” degli orari indicati su tutti i computer presenti nella rete, ed introdursi furtivamente nei processi di codifica, provocare un denial of service, o abbassare la soglia di protezione al momento dell’utilizzo di tecnologie specifiche, quali le DNSSEC.

“È davvero sorprendente che nessuno abbia pensato di utilizzare un simile vettore di attacco, – afferma Sharon Goldberg. – Abbiamo compreso che si tratta, di fatto, di un potente strumento per condurre attacchi nei confronti di sistemi informatici all’interno dei quali il fattore temporale, o più semplicemente l’orario, svolge un ruolo di primaria importanza. La maggior parte dei sistemi di codifica utilizza, in effetti, i timestamp, per un motivo ben preciso. Se questi ultimi si rivelano errati, possono verificarsi seri inconvenienti”.

Nell’ultima decade di ottobre, Sharon Goldberg, Aanchal Malhotra ed i colleghi di università Isaac E. Cohen ed Erik Brakke hanno pubblicato un articolo intitolato Attacking the Network Time Protocol (“All’attacco del protocollo di rete per la sincronizzazione degli orologi dei computer”), nel quale vengono esaminate alcune varianti dell’attacco condotto nei confronti dell’NTP. Si tratta di attacchi dimostrativi, di tipo PoC (Proof of Concept), destinati tuttavia ad andare a buon fine, visto che procedure di autenticazione imperfette, al pari di eventuali errori in fase di implementazione dei sistemi di cifratura, consentono di effettuare il “rollback” dell’orologio del computer; circostanze del genere possono di fatto provocare un vero e proprio caos, in Internet.

Quello sopra descritto non è, ad ogni caso, l’unico esempio di utilizzo delle vulnerabilità individuate nel protocollo NTP. In effetti, a cavallo tra la fine del 2013 e l’inizio del 2014, certi malintenzionati hanno fatto uso di server NTP per amplificare il traffico DDoS, sostituendo l’indirizzo IP della fonte delle query, allo scopo di indirizzare un potente flusso “spazzatura” verso l’obiettivo sottoposto ad attacco.

Secondo quanto asserisce Sharon Goldberg, le vulnerabilità rilevate dai ricercatori universitari possono essere sfruttate per la conduzione di attacchi di varia complessità. La più semplice tra di esse implica l’utilizzo di un exploit destinato al limitatore della velocità di trasferimento, integrato nel protocollo NTP. Nella circostanza, si rivela sufficiente, per l’attacker, inviare un pacchetto appositamente predisposto, il cosiddetto “bacio della morte” (kiss-of-death), falsificandone la fonte. Questo provoca, peraltro in maniera estremamente efficace, il blocco (anche per lunghi anni, qualora semplicemente lo volesse l’attaccante) di tutte le richieste inviate dal client al server, in modo tale che non risulta in alcun modo possibile procedere all’aggiornamento dell’orologio.

“Visto che il numero di pacchetti “Kiss-o’-Death” destinati ad ogni client sottoposto ad attacco è di fatto limitato, risulta possibile modificare leggermente lo scanner di rete standard (nmap, zmap) ed utilizzare lo stesso per attacchi a tappeto nei confronti di client ntpd in Internet”, –scrive Sharon Goldberg sul sito web dell’Università di Boston, fornendo al tempo stesso preziosi consigli per la protezione dei server e dei client NTP.

Secondo la Goldberg, un simile attacco su vasta scala può essere condotto eseguendo la scansione dello spazio degli indirizzi IPv4, ed “ascoltando” poi le risposte provenienti dai server vulnerabili. L’apposita patch per il protocollo NTP rilasciata alcuni giorni fa riduce considerevolmente le possibilità di utilizzo del pacchetto nocivo “kiss-of-death”.

Tutti i precedenti attacchi Proof of Concept indirizzati contro l’NTP, secondo quanto afferma Sharon Goldberg, sono stati condotti da una posizione “man-in-the-middle”, incluso la specifica variante presentata lo scorso anno alla conferenza Black Hat da parte di Jose Selvi, la quale prevedeva l’utilizzo del protocollo NTP per bypassare l’HSTS. Nell’ambito della ricerca svolta, la Goldberg si è avvalsa, assieme ai propri colleghi, di uno degli strumenti utilizzati da Jose Selvi, ovvero Delorean.

“Nel corso di questi ultimi anni, il numero degli studi condotti riguardo agli attacchi lanciati da un indirizzo riconducibile ad una fonte fasulla, è sensibilmente aumentato, – constata Sharon Goldberg. – Un attacco di tipo “off-path” non consiste nell’intercettare il traffico; l’attacker, in effetti, invia semplicemente dei pacchetti, dal proprio computer. Si tratta di una minaccia ben più pericolosa”.

Nel loro articolo, i ricercatori universitari descrivono ugualmente un attacco Denial of Service, il quale, anche in presenza dell’apposita patch in grado di neutralizzare il famigerato “kiss-of-death” consente di disattivare il protocollo NTP sul client della vittima. “In questo caso, l’attaccante ottiene un pacchetto KoD valido, proveniente dai server preconfigurati del client, letteralmente “adescando” tali dati; l’operazione viene realizzata, ad esempio, inviando ai server un elevato numero di richieste fasulle, le quali sembrano provenire, in apparenza, dal client, – spiegano i co-autori dell’articolo. – In risposta, i server limitano la velocità di trasferimento per il client e, ad ogni successiva richiesta, restituiscono un pacchetto KoD valido. Ricevendo il KoD, il client non contatta più i propri server, e perde in tal modo la possibilità di aggiornare i propri orologi”.

Il terzo tipo di attacco analizzato dai ricercatori viene eseguito dalla posizione “man-in-the-middle” e consente di intercettare il traffico diretto al server NTP, tramite l’hijacking del protocollo BGP o DNS. Il risultato di tutto ciò è il “rollback” degli orologi dei client, bypassando la soglia di panico di 16 minuti prevista dal protocollo NTP; l’attacker ottiene in tal modo la possibilità di manipolare la cache del client e causare, ad esempio, la scadenza del termine di validità di un oggetto crittografico.

Un’ulteriore variante dell’attacco di tipo “off-path “, con relativo “rollback” dell’ora sul lato client, sfrutta gli errori di frammentazione dei pacchetti IPv4.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *