増幅攻撃はDNSだけではない――NTPサーバーの脆弱性に注意喚起:悪用した攻撃も2013年12月に観測
システムの内部時計を正しい時間に同期させるNTPサーバープログラム「ntpd」の一部のバージョンにDDoS攻撃につながる脆弱性が存在するとし、情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)が注意を呼び掛けている。
2014年1月15日、システムの内部時計を正しい時間に同期させるNTPサーバープログラム「ntpd」の一部のバージョンにDDoS攻撃につながる脆弱性が存在するとし、情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)が注意を呼び掛けた。
ntpdは、Network Time Protocol projectが公開しているNTPサーバーソフトウェアだ。LinuxやBSD系OS、Mac OS Xなど多くのOSに搭載されている他、ルーターなどネットワーク機器に組み込まれていることがある。
DDoSにつながる脆弱性が存在するのはntpd 4.2.7p26よりも前のバージョンだ。つまり、安定版の4.2.6.xは全て、脆弱性の影響を受けるという。
脆弱性は、NTPサーバーの状態を確認するmonlist機能に起因する。monlist機能では、NTPサーバーに送られるリクエストに対して、大きなサイズのデータが返される。これを悪用し、送信元IPアドレスを偽装してNTPサーバーにリクエストを送信すると、無関係な第三者のWebサーバーなどに大量のデータが送り付けられ、DoS状態に陥ってしまう。
送信元IPアドレスを詐称してリクエストを送信し、第三者のサーバーに大量の返答を送り付ける攻撃手法は、DNSでも用いられていた。外部からの再帰検索を許可しているDNSサーバー(オープンリゾルバー)を悪用して問い合わせを行い、何倍ものサイズのパケットに増幅させ、標的に大量のトラフィックを送り付ける「DNSリフレクション攻撃」(あるいはDNS amp攻撃とも)だ。この手法がNTPにも悪用されていることになる。
既に2013年12月に、この脆弱性を悪用した攻撃が観測されたという。また、JPCERT/CCが運用しているインターネット定点観測システム「TSUBAME」でも、NTPサーバを探索するパケットの増加が確認されており、「今後も同攻撃が継続すると想定される」(JPCERT/CC)という。
対策は、脆弱性を修正したntpd 4.2.7p26(開発版)にバージョンアップすることだ。もし開発版の適用が難しい場合は、ntpdの設定ファイル「ntp.conf」に「disable monitor」という一行を追加し、monlist機能を無効化することで回避可能という。
なお、サーバーやネットワーク機器に組み込まれているといった理由で、管理者が把握していないNTPサーバーが存在し、DDoS攻撃に悪用される可能性もある。OpenNTPProject.orgでは、対象ネットワークにmonlistのリクエストに応答を返すNTPサーバーが存在しないかどうかのチェックが可能だ。洗い出したNTPサーバーの中で、外部にNTPサービスを提供する必要がないものについては、外部からの通信を制限することも検討すべきという。
Copyright © ITmedia, Inc. All Rights Reserved.