Protocole NTP – Mise à jour de sécurité urgente pour Mac OS X

0
99
DDoS - DNS Amplification Attack

Le CERT US a lancé une alerte sécurité concernant le protocole NTP, qui gère l’horloge système et la synchronisation réseau. Un push de mise à jour est disponible pour OS X.

Plusieurs failles de sécurité ont été décelées au sein du protocole NTP (CVE-2014-9295) et il est urgent d’appliquer la mise à jour. C’est en sommes le résumé de l’alerte lancée par le gouvernement américain via son CERT US, expliquant que les vulnérabilités sont dangereuses car relativement faciles à exploiter par un cybercriminel.

Apple a d’ores-et-déjà mis à disposition un push exceptionnel visant à appliquer la mise à jour sur les systèmes de ses utilisateurs. Les versions de OS X touchées sont nombreuses, par exemple Yosemite, Mavericks et Mountain View. Notez que le patch est appliqué en tâche de fond et que vous serez informé une fois terminé (si vous ne lancez pas manuellement la mise à jour). C’est l’avantage certes radical, mais utile, du système push d’Apple.

os-x-maj-securite-ntp

Conséquences d’exploitation des failles NTP

Les failles corrigées dans la dernière version du protocole NTP 4.2.8 sont essentiellement des attaques de type dépassement de tampon (buffer overflow, ndlr). Si un attaquant parvient à exploiter ces vulnérabilités, cela permettaient l’exécution à distante de code malveillant arbitraire, disposant des privilèges du NTP.

Grâce à cela, les cybercriminels peuvent par exemple mettre en place de puissantes attaques DDoS par amplification. Et si les pirates arrivent à exploiter cela sur des serveurs, ça risque d’être très efficace !

Mac OS X n’est pas le seul touché

En effet, beaucoup de systèmes ont recours au protocole NTP via ses différentes implémentations afin de synchroniser leurs différentes horloges. Linux par exemple en fait parti. La mise à jour est disponible sur le site officiel du protocole et les distributions Linux (Red Hat par exemple ou encore Debian) affectées planchent actuellement sur des patchs spécifiques afin de prévenir tout risque d’attaque.

Le protocole NTP possèdent des fonctions qui permettent d’amplifier le trafic envoyé en direction du serveur grâce à l’utilisation de spoofing. Cela est donc très bénéfique pour réaliser des attaques DDoS amplifiées massives, d’ailleurs, ce n’est pas la première fois que NTP est pointé du doigt. La dernière violente attaque de ce type remonte à l’affaire Spamhaus,mais la société CloudFlare reporte de multiples attaques par amplification tout au long de l’année 2014.