NTP 분산 서비스 거부 취약점 : NTP 서버의 특정 명령어(monlist)를 이용하여 대규모 증폭, 반사 형태의 디도스 공격을 유발시킬 수 있는 취약점
* NTP(Network Time Protocol) : 네트워크를 통해 컴퓨터 시스템 간 시간 동기화를 위해 사용하는 인터넷 프로토콜(udp/123)
- NTP monlist : NTP 서비스 데몬(ntpd)은 질의를 통해 해당 서비스 데몬에 접속한 호스트를 모니터링할 수 있는 기능을 지원한다. "monlist"라는 이름의 명령어로 NTP 데몬에 질의를 요청하면 최근 접속한 최대 600개의 접속 호스트 리스트를 응답받을 수 있다.
-> ntpdc -n -c monlist "NTP 서버"
- ntpdate : 원격지의 NTP 서버를 이용하여 날짜 및 시간 정보를 확인하거나 현재 서버에 설정할 수 있는 명령어
1) ntpdate -q "NTP 서버" : NTP 서버의 날짜/시간 정보 확인(현재 서버에 날짜/시간 설정은 하지 않음)
2) ntpdate "NTP 서버": NTP 서버의 날짜/시간 정보를 현재 서버에 설정
대응방안
1) 취약한 NTP 데몬(ntpd) 서버 버전을 업그레이드 한다. (ntpd --version)
2) 서비스 운영상 최신 버전으로 업그레이드가 어려운 경우 설정 변경을 통하여 monlist 기능을 해제한다.
-> ntp.conf 파일에 "disable monitor"를 추가하여 monlist 기능 해제 후 ntpd 데몬 재시작
3) 취약점에 영향을 받는 서버인지 또는 적절하게 조치가 되었는지에 대한 확인은 monlist 쿼리 요청을 통해 확인
-> ntpdc -n -c monlist "NTP 서버"
4) 방화벽 설정
-> iptables -A OUTPUT -p udp --sport 123 -m length --length 100 -j DROP
감사합니다.
'Security > Vulnerability' 카테고리의 다른 글
| Apache Log4j 2 RCE 취약점(CVE-2021-44228) (0) | 2021.12.12 |
|---|---|
| Sudo 권한상승 취약점(CVE-2021-3156) (0) | 2021.02.10 |
| ThinkPHP 원격 코드 실행 취약점(CVE-2018-20062) (0) | 2020.11.19 |
| Logjam (CVE-2015-4000) (0) | 2020.08.01 |
| DROWN (CVE-2016-0800) (0) | 2020.08.01 |