公開日:2015/04/08 最終更新日:2020/12/22

JVNVU#95993136
NTP daemon (ntpd) に複数の脆弱性

概要

Network Time Protocol daemon (ntpd) には複数の脆弱性が存在します。

影響を受けるシステム

影響を受けるシステムのバージョンは脆弱性によって異なります。

CVE-2015-1798

  • ntp-4.2.5p99 から ntp-4.2.8p1 まで
CVE-2015-1799
  • xntp3.3wy から ntp-4.2.8p1 まで
    xntp3.3wy より前のバージョンも影響を受ける可能性があります。
詳しくは NTP Project や各開発者が提供する情報をご確認ください。

詳細情報

- CVE-2015-1798 (bug 2779)

対称鍵認証を行う設定で ntpd を運用している場合、ntpd は受信したパケットに含まれるメッセージ認証コード (MAC) が正しいかどうかを確認しますが、MAC が含まれていない場合には正しいかどうかの確認を行いません。MAC を含まないパケットは正しい MAC を持つパケットと同様に受け入れられてしまいます。中間者攻撃によりこの問題を悪用することで、攻撃者は対称鍵を知ることなく、不正なパケットを受け入れさせることが可能です。ただしこの攻撃では、攻撃対象の ntpd の Transmit Timestamp をあらかじめ知る必要があり、かつ正当な応答が返される前に不正なリプライパケットを受信させる必要があります。

- CVE-2015-1799 (bug 2781)

ntpd A と ntpd B が時刻同期を行う設定で運用している場合、不正なパケットが送り続けられると、時刻同期が妨害されます。攻撃者は ntpd A に対して ntpd B のソース IP アドレスを持つパケットを送りつけることで ntpd A の state variable を設定することができます。ntpd A は次に ntpd B に対して ntpd B の Transmit Timestamp と一致しない Originate Timestamp を持つパケットを送信しますが、ntpd B はそのパケットを破棄します。攻撃者がこれを継続的に行うことで、ntpd A と ntpd B の時刻同期が妨害されます。
この攻撃手法自体は Analysis and Simulation of the NTP On-Wire Protocols で既に述べられていましたが、今回、対称鍵認証を行う設定で ntpd を運用している場合であってもこの攻撃が可能であることが指摘されました。

NTP で認証を行うことで symmetric association をこの攻撃手法から保護できることが想定されていましたが、state variable は認証に失敗した場合であっても更新され、更新した情報を使って次のポーリングパケットが送信されるため、受信側ではこのパケットを不正なものとして廃棄し、時刻同期が行われません。

これは古いバージョンの ntpd から存在する問題であり、少なくとも xntp3.3wy の時点で影響を受けることが確認されています。また symmetric association と authentication をサポートしている他の NTP 実装も同様の影響を受ける可能性があります。この問題の対策として NTP RFC の改訂作業が進められています。

詳しくは、NTP Project が提供する SecurityNotice をご確認ください。

想定される影響

攻撃者によって、不正なパケットを受け入れさせられたり、時刻同期を妨害されたりする可能性があります。

対策方法

アップデートする
これらの脆弱性は、ntp-4.2.8p2 で修正されています。
NTP Project や各開発者が提供する情報をもとにアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品無し 2015/05/07
サイボウズ株式会社 該当製品無し 2015/04/08
ジェイティ エンジニアリング株式会社 該当製品無し 2015/05/15
日本電気株式会社 該当製品あり 2020/12/22
横河メータ&インスツルメンツ株式会社 該当製品無し 2015/04/10
ベンダ リンク
Network Time Protocol project Security Notice
Bug 2779 - ntpd accepts unauthenticated packets with symmetric key crypto
Bug 2781 - authentication doesn't protect symmetric associations against DoS attacks

参考情報

  1. CERT/CC Vulnerability Note VU#374268
    NTP Project ntpd reference implementation contains multiple vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v2 AV:A/AC:M/Au:N/C:P/I:P/A:P
基本値: 5.4
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

分析結果のコメント

この CVSS は CVE-2015-1798 を評価したものです。

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-1798
CVE-2015-1799
JVN iPedia

更新履歴

2015/04/10
横河メータ&インスツルメンツ株式会社のベンダステータスが更新されました
2015/05/08
アライドテレシス株式会社のベンダステータスが更新されました
2015/05/15
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2017/03/09
日本電気株式会社のベンダステータスが更新されました
2020/12/22
日本電気株式会社のベンダステータスが更新されました