[SECURITY-L] CAIS-Alerta: Vulnerabilidades no serviço NTP

[CSIRT - UNICAMP]

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

Date: Tue, 23 Dec 2014 11:42:48 -0200 (BRST)
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Subject: CAIS-Alerta: Vulnerabilidades no serviço NTP

-----BEGIN PGP SIGNED MESSAGE-----


O CAIS alerta para diversas vulnerabilidades encontradas recentemente no 
serviço NTP, mantido pela equipe do NTP Project. As vulnerabilidades 
permitem,  execução arbitrária de código e desvio de recursos de 
autenticação.Um usuário malicioso poderia executar códigos maliciosos com 
privilégios do processo ntpd.Já existem relatos de exploração das 
vulnerabilidades abaixo.

DESCRIÇÃO:

- - CVE-2014-9293: Insufficient Entropy in PRNG:
Quando o usuário não define a chave de autenticação no arquivo ntp.conf a 
chave de autenticação gerada automaticamente é considerada fraca pois 
possuí baixa entropia, permitindo assim que usuários maliciosos consigam 
burlar o recurso de autenticação.

- - CVE-2014-9294: Use of Cryptographically Weak Pseudo-Random Number 
Generator (PRNG):
A função "ntp-keygen" utiliza u um gerador de números aleatórios 
não-criptográfico e uma semente aleatória considerada fraca para os 
padrões atuais durante a geração de números pseudo-randômicos. Sendo 
assim, atacantes podem identificar qual chave gerada.


- - CVE-2014-9295: Stack Buffer Overflow:
Quando a função "Autokey Authentication" está habilitada, um atacante 
remoto sem permissão ao servidor NTP pode enviar um pacote especialmente 
manipulado causando mal funcionamento no sistema e permitindo a execução 
arbitrária de códigos.


- - CVE-2014-9296: Error Conditions, Return Values, Status Codes:
Através de pacotes especificamente manipulados um atacante pode executar 
comandos arbitrários no sistema devido a um bug na implementação da função 
ntp_proto.c antes da versão do NTP 4.2.8 



VERSÕES AFETADAS
Todas anteriores a 4.2.8.


CORREÇÕES DISPONÍVEIS
Recomenda-se atualizar o NTP para a última versão disponível no site do 
NTP Project (4.2.8), aplicar as mitigações disponibilizadas pelo NTP 
Project ou aplicar as soluções disponibilizadas por cada uma das diversas 
distribuições do protocolo/serviço.


IDENTIFICADORES CVE (http://cve.mitre.org):
CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296


MAIS INFORMAÇÕES

- - http://support.ntp.org/bin/view/Main/SecurityNotice
- - https://isc.sans.edu/forums/diary/Critical+NTP+Vulnerability+in+ntpd+prior+to+4+2+8/19093
- - http://www.kb.cert.org/vuls/id/852879
- - https://ics-cert.us-cert.gov/advisories/ICSA-14-353-01
- - https://nvd.nist.gov/home.cfm


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as últimas versões e 
correções oferecidas pelos fabricantes.


Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml


Siga-nos no Twitter @cais_rnp


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBVJlxYOkli63F4U8VAQHaDAQAo4TDxh3x/oFdjuWQznhUXA8Ihm0WNj2l
I2m4/xril1FUQJWWm6I2a0Svm5WIDF4lOBvbtb/+Oq6lOIdIO8v0SZWE3DfYvkhp
IJq4KDIia8eTcyAsJ7WVoC28SYM+AUZgdx/dPSMmOhGVeutPbb6zHRlUBSclC0Zz
48ZhOxWzN7I=
=pQXm
-----END PGP SIGNATURE-----


----- End forwarded message -----