![Meinberg Security Advisory: [MBGSA-1405] Mehrere NTP Schwachstellen entdeckt - Meinberg News](/css/images/logos/xmbg-logo.png.pagespeed.ic.DX69pohVcT.png){kind=logo}
NEWSNews vom 22.12.2014
Meinberg Security Advisory: [MBGSA-1405] Mehrere NTP Schwachstellen entdeckt
Kunden mit LANTIME Firmware V5 und PTP-Option (M600/PTP oder M900/PTP) werden gebeten, sich vor dem Anwenden der untenstehenden Konfigurationsänderungen an den technischen Support zu wenden (techsupport@meinberg.de).
Update:
Auf der NTP Download-Seite steht jetzt ein aktualisierter Windows-Installer zur Verfügung.
CVE-ID:
CVE-2014-9293
CVE-2014-9294
CVE-2014-9295
CVE-2014-9296
1. Beschreibung des Problems
Die Version der NTP Referenz Implementierung, die auf Meinberg LANTIME Systemen verwendet wird und die im von Meinberg zur Verfügung gestellten Windows Installer für NTP enthalten ist, enthält mehrere sicherheitsrelevante Softwarefehler.Die meisten der beschriebenen Probleme betreffen nur Systeme, auf denen das sogenannte Autokey-Feature von NTP aktiviert wurde. Da Autokey bereits als nicht mehr sicher gilt, empfiehlt Meinberg das Deaktivieren dieses Features von NTP.
Andere berichtete Sicherheitslücken können nur ausgenutzt werden, wenn auf einem NTP System die Verwendung von Mode 6/Mode 7 Paketen möglich ist. Durch sogenannte Restrict Statements kann man in der Konfiguration von NTP den Zugriff auf diese Management-Funktionen auf vertrauenswürdige IP Adressen beschränken.
2. Betroffene Systeme
Alle LANTIME Firmware Versionen vor V6.16.007 sind von diesen NTP Schwachstellen betroffen. Wir untersuchen noch, inwiefern die in V4.x und V5.x Firmware verwendeten NTP Versionen 4.2.0b sowie die in V3.x verwendete Version ebenfalls angreifbar sind. Solange wir nicht sicherstellen können, daß keine Gefahr für diese Firmware Generation besteht, sehen wir diese ebenfalls als betroffen an.Nach den bisher verfügbaren Informationen der NTP Maintainer sind mindestens alle NTP V4.x Versionen betroffen, inklusive der in allen Meinberg NTP Installer für Windows enthaltenen NTP Versionen.
3. Mögliche Gegenmaßnahmen
Meinberg LANTIME Systeme
Für alle LANTIME Produkte, die noch mit Firmware V3.x im Einsatz sind und aus nicht vertrauenswürdigen Netzwerken heraus erreicht werden können, wird empfohlen, eine Firewall mit der Möglichkeit einzusetzen, NTP Mode 6 bzw. Mode 7 Pakete nur von vertrauenswürdigen IP Adressen zu akzeptieren.Grundsätzlich empfehlen wir ein Update Ihres V5 oder V6 LANTIME Systems auf V6.16.007 - Sie können ein Update für Ihr System mithilfe unseres LANTIME Firmware Anfordung Formulars anfordern. Bitte beachten Sie, dass ein Update eines V5 Systems auf V6 nur bei ausreichend großem Flash Speicher möglich ist. Ihr zuständiger Meinberg Support Kontakt kann Ihnen dabei helfen, die Hardware-Ausstattung Ihres V5 Systems zu ermitteln. Sollte der Flash Speicher zu klein sein, müssen Sie ein größeres Flash Modul erwerben, um Ihr System auf V6 zu bringen.
Das sogenannte Autokey Feature kann auf allen Meinberg LANTIME Versionen, die es unterstützen, auf der NTP Seite des Web-Interfaces deaktiviert werden. Im Auslieferungszustand ist Autokey bereits ausgeschaltet. Die weiteren vorgeschlagenen Gegenmaßnahmen sind identisch mit denen, die bereits in [MSA-1401] beschrieben worden sind. Nur wenn Sie diese Maßnahmen noch nicht angewendet und Ihre NTP Konfiguration entsprechend angepasst haben, müssen Sie tätig werden. Wenn Sie auf Ihr(e) LANTIME System(e) die Firmware Version V6.16.007 nutzen, sind keine Konfigurationsänderungen oder andere Maßnahmen notwendig.
Für Meinberg LANTIME Produkte mit Firmware Versionen V4.x und V5.x kann durch eine Konfigurationsänderung erreicht werden, dass NTP Mode 6 und Mode 7 Anfragen von beliebigen IP Adressen nicht mehr beantwortet werden. Dafür muss die "Edit additional NTP Configuration" Funktion auf der NTP-Seite des Web-Interfaces verwendet werden.
Fügen Sie die folgenden Zeilen zur "Additional NTP Configuration" Ihrer LANTIME Systeme hinzu:
# LANTIME Additional NTP Configuration:
restrict default limited kod nomodify notrap nopeer noquery
restrict -6 default limited kod nomodify notrap nopeer noquery
restrict 127.0.0.1
WICHTIG: Die letzte "restrict" Zeile ist wichtig, damit die interne Abfrage des NTP Status weiter funktioniert. Sollten Sie diese Konfigurationszeile (restrict 127.0.0.1) nicht oder nicht richtig einfügen, kann das zu Problemen bei der Darstellung und Auswertung des NTP Status auf dem Web Interface, im Display und bei konfigurierten Alarmierungen führen.
LANTIME Systeme mit einer V6 Firmware können durch das gleiche Verfahren geschützt werden oder durch Auswählen der "Disable mode 6 / mode 7" Option im "General Options" Abschnitt der NTP Seite im Web-Interface.
Andere NTP Installationen
Wenn das Aktualisieren Ihrer NTP Installationen auf anderen Systemen nicht möglich ist, können Sie in ähnlicher Art und Weise den Support für Mode 6 / Mode 7 Pakete einschränken. Das "noquery" Flag deaktiviert den Mode 6 und Mode 7 Support für Statusabfragen (und somit auch "monlist") und kann in einer "Default Restrict" Definition gesetzt werden, die damit erstmal alle eingehenden Anfragen ignoriert. Für einzelne IP Adressen oder Subnets kann dann der Zugriff durch weitere "restrict" Anweisungen erlaubt werden. Sie sollten zusätzlich auf jeden Fall das Autokey Feature ausschalten, indem Sie alle Zeilen in Ihrer NTP Konfigurationsdatei auskommentieren oder löschen, die mit dem "crypto" Schlüsselwort beginnen.NTP Mode 6/mode 7 Pakete werden verwendet, um Status Informationen vom NTP Daemon Prozess (ntpd) abzufragen und erlauben es einem Angreifer, Informationen über die laufende NTP Version, das Betriebssystem und andere Details wie z.B. den Status des NTP Dienstes und die verwendeten Zeitquellen bzw. Upstream NTP Server zu sammeln. Neben dem Abschalten der Möglichkeit des Sammelns von Informationen für nicht autorisierte Systeme empfiehlt Meinberg auch, die Unterstützung für das Verändern von Konfigurationsparametern des NTP Prozesses zu blockieren. Das kann mit dem "nomodify" Flag erreicht werden.
HINWEIS: Um mehr über die Bedeutung und Verwendung der Konfigurationsbefehle von NTP zu erfahren, kann die NTP Dokumentation auf http://doc.ntp.org eingesehen werden. Die hier gezeigten Konfigurationsbeispiele sollten mit allen ntpd Versionen von 4.2.0 bis 4.2.6 funktionieren, mit der Einschränkung, dass IPv6 betreffende Befehle natürlich nur auf Systemen eingesetzt werden können, die auch IPv6 Support haben.
Fügen Sie die folgenden Zeilen zu Ihrer NTP Konfigurationsdatei (ntp.conf) hinzu:
# for IPv4
restrict default limited kod nomodify notrap nopeer noquery
# for IPv6
restrict -6 default limited kod nomodify notrap nopeer noquery
Diese Anweisungen bewirken, dass alle eingehenden Mode 6 und Mode 7 Anfragen nicht mehr beantwortet werden und aktiviert außerdem die sogenannte "kiss-o'-death" (kod) Funktion von NTP. Eine Einschränkung für das Abfragen der Zeitinformation ist damit nicht gegeben und somit wird weiterhin jeder IP Adresse erlaubt, Client Requests zu schicken.
Meistens ist es sinnvoll, auf dem NTP Server selbst vollen Zugriff zu gewähren, damit der Administrator und ggf. Überwachungssoftware in der Lage ist, den NTP Status abzufragen. Das erreicht man dadurch, dass man die oben definierten Standard-Einschränkungen für die Localhost IP Adresse deaktiviert:
# for IPv4
restrict 127.0.0.1
# for IPv6
restrict -6 ::1
Um vom Standard (default) abweichende Einschränkungen für autorisierte IP Adressen und Subnetze zu definieren, kann man weitere "restrict" Befehle in die Konfiguration einfügen. Wenn Sie z.B. einem Administrator-PC mit der IP 192.168.0.20 den vollen Zugriff zu erlauben, müssen Sie die folgende Zeile in die Konfiguration einfügen:
# for IPv4
restrict 192.168.0.20 nomodify nopeer
Oder, um die Einschränkungen für ein ganzes Subnetz zu deaktivieren:
# for IPv4
restrict 192.168.0.0 mask 255.255.255.0
4. Weitere Quellen
Mehr über dieses Sicherheitsproblem können Sie auf den folgenden Websites erfahren:
Security Notice des NTP Public Services Project
Debian Security Announce Message DSA-3108-1 von der Debian Security Announce Mailingliste
News-Artikel Heise Ticker
