Importante faille dans le protocole NTP découverte par Google

Plusieurs vulnérabilités viennent d’être découvertes dans le protocole utilisé pour la synchronisation des horloges des équipements connectés, la plus sévère peut être exploitée avec un seul paquet.

Des chercheurs ont dévoilé plusieurs vulnérabilités présentes dans le protocole NTP utilisé pour la synchronisation des horloges des équipements connectés en réseau. Ces vulnérabilités pourraient permettre à des attaquants de compromettre un vaste éventail de systèmes.

Neel Mehta et Stephen Roettger, membres de l’équipe de sécurité de Google, ont rapporté un total de 8 vulnérabilités à la Network Time Foundation, qui supervise le projet NTP. La plus sérieuse d’entre elles, CVE-2014-9295, est une faille par dépassement de mémoire tampon qui peut être exploitée à distance par un simple paquet taillé sur mesure.

L’exploitation réussie de la vulnérabilité pourrait permettre à un attaquant d’exécuter du code malicieux avec le même niveau de privilège que le processus ntpd.

Le projet NTP a indiqué que les plus graves vulnérabilités ont déjà été corrigées dans la version 4.2.8 de NTP, et qu’un correctif est imminent pour les autres.

Apple n’a pas manqué de réagir rapidement, diffusant à ses utilisateurs d’OS X un correctif à déploiement silencieux.

De son côté, l’ICS–Cert américain a appelé à la vigilance, estimant que NTP est largement répandu dans les systèmes de contrôle industriels que des attaquants, même avec des compétences limitées, pourraient tirer profit des vulnérabilités identifiées. Des codes d’exploitation sont d’ailleurs déjà diffusés en ligne.

De son côté, Rob VandenBrink, ingénieur conseil chez Metafore Technologies, a indiqué sur le blog Storm Center du SANS Institute que les organisations doivent être conscientes de la présence, sur leurs réseaux, de très nombreux systèmes utilisant NTP : routeurs, commutateurs, passerelles VoIP, serveurs de messagerie, etc.

Et les premiers tests ne sont guère rassurants : « en ces temps de mises à jour automatiques, on pourrait imaginer que la plupart des serveurs NTP du monde ont déjà fait l’objet de correctifs pour les vulnérabilités identifiées par l’équipe de Google. Mais je n'ai du attendre que le second hôte testé pour découvrir un serveur largement obsolète. Malheureusement, c’est le principal serveur NTP d’un important FAI canadien ».

Pour approfondir sur Menaces, Ransomwares, DDoS

Close