ntpdに深刻な脆弱性、リモートからコード実行の恐れも：回避策は外部からの接続制限など。影響範囲の慎重な確認を

ネットワーク経由で時刻を調整するためのプロトコル「NTP」を実装した「NTP Daemon（ntpd）」に、深刻な脆弱性が複数存在することが明らかになった。問題を修正したntpd 4.2.8への早急なアップデートが推奨されている。

[高橋睦美，＠IT]

　米国時間の2014年12月19日、ネットワーク経由で時刻を調整するためのプロトコル「NTP」を実装した「NTP Daemon（ntpd）」に、深刻な脆弱（ぜいじゃく）性が複数存在することが明らかになった。このうちCVE-2014-9295の脆弱性は、細工を施したパケットを受け取るだけでバッファオーバーフローが発生し、ntpd の実行権限で任意のコードが実行される恐れがあるという深刻な問題だ。開発元のNTP.orgでは、問題を修正したntpd 4.2.8への早急なアップデートを推奨している。

　一連の脆弱性が存在するのは、ntpd 4.2.7以前。つまり、12月19日に公開された最新バージョン以外の全てのバージョンが影響を受ける。

　注意が必要なのは、ntpdは、いわゆる「サーバー」以外の機器で動作している可能性があることだ。DDoSにつながる脆弱性の際にも指摘されていた通り、管理者がそれと意識していなくても、ルーターをはじめとするネットワーク機器やセキュリティアプライアンス、あるいは汎用OSを採用した組み込み機器や制御システムなどでも動作している可能性があるため、慎重な確認が必要だ（なお、公表されている情報によると、影響の有無はまだ「Unknown」としているベンダーが多い）

　米国ICS-CERTによると、既にこの脆弱性を悪用する攻撃コード（Exploit）が確認されており、早急なアップデートが推奨される。ただし、12月22日17時時点では、NTP.orgのWebサイトへのアクセスは不安定な状態だ。

　SANS Internet Storm Centerでは、当面の回避策として

• 公開NTPサーバーを運用している場合以外は、外部からNTPサーバーへのアクセスをブロックする
• より低い権限（root以外）でntpdを動作させる
• 設定を変更し、「Autokey Authentication」を無効化する

といった項目を挙げている。