□ 개요
- 클라이언트와 서버 사이의 시간 동기화를 위해 사용되는 NTP
(Network Time Protocol)에서 분산 서비스 거부 취약점이 존재
- 해당 취약점을 이용한 400Gbps 규모의 DDoS 공격이 유럽에서 발생(2.10)
□ 취약점 내용
- ntpd(NTP Daemon)의 monlist는 서버에 최근 접속한 600개의 클라이언트 정보를 전송
- monlist 요청자에 대한 검증을 수행하지 않아 소스 IP 주소를 공격 대상의 IP로 변조할 경우,
수많은 monlist 응답 패킷이 공격 대상에게 전송됨
※ 요청패킷의 크기: 234 byte, 응답패킷의 크기: 4460 byte 이상
- 여러 차례 NTP 서버에 변조된 monlist 요청을 보낼 경우 네트워크
트래픽이 증폭되어 공격대상에 분산 서비스 거부 공격을 수행할 수 있음
□ 해결 방안
- ntpd 버전을 4.2.7로 업그레이드
※ 4.2.7 버전은 monlist 기능을 해제
- 공개 서비스를 제공하고 있어 4.2.7 버전으로 업데이트가 어려운
NTP 서버의 경우 설정 변경을 통해 monlist 기능 해제 가능
※ /etc/ntp.conf 파일에 ‘disable monitor’ 문자열 추가
※ 또는 ntp.conf 파일의 “restrictive default” 행에 다음 문장 추가
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
□ 참고 사항
- 해당 취약점에 영향을 받는 서버의 경우, 아래의 명령어를 통해 monlist 기능의 지원여부 확인 가능
※ NMap 의 ntp-monlist 스크립트의 실행결과를 통해서도 확인 가능(에러를 반환할 경우 취약하지 않음)
/usr/sbin/ntpdc <remote server>
monlist
'공지/이벤트 > 공지사항' 카테고리의 다른 글
| 윈도우 업데이트 주의 MS14-045 (0) | 2016.03.12 |
|---|---|
| OpenSSL 라이브러리 취약점 보안 업데이트 권고 (0) | 2016.03.12 |
| 2014년 4월 8일 Windows XP, Office 2003 서비스 지원이 종료 됩니다. (0) | 2016.03.12 |
| [KISA 보호나라] 'SW 업데이트 체계 보안 가이드라인' 및 코드서명 검증모듈 배포 (0) | 2016.03.12 |
| 2013년 11월 마이크로소프트 보안 공지 발표 (0) | 2016.03.12 |