IETF เสนอมาตรฐาน RFC8915 “Network Time Security (NTS)” ร่างใหม่ของ NTP

Internet Engineering Task Force หรือ IETF มีการเผยแพร่ข้อเสนอสำหรับมาตรฐานใหม่ RFC8915 หรือ Network Time Security (NTS) โดยเป้าหมายที่ชัดเจนของ RFC นี้นั้นคือการแก้ไขปัญหา จุดอ่อนและช่องโหว่ในโปรโตคอล network time protocol หรือ NTP

NTP ซึ่งปัจจุบันมีอายุครบ 35 ปีแล้วนั้นมีปัญหาและช่องโหว่อยู่มากมาย อาทิ ลักษณะของโปรโตคอลที่สามารถถูกนำมาใช้ในการโจมตีลักษณะ DDoS amplification, ปัญหาการแก้ไขข้อมูลในแพ็คเกตระหว่างทาง และการโจมตีในลักษณะของ replay attack ด้วยการใช้วิธี MiTM

สิ่งที่จะเกิดขึ้นใหม่ NTS นั้นคือการนำเอาศาสตร์ของการเข้ารหัสเข้ามาช่วยในการันตีความถูกต้องและความลับของแพ็คเกจ และแก้ปัญหา DDoS amplification โดยการตรวจสอบขนาดของข้อมูลในโปรโตคอล

แม้จะออกมาดูดีและมีความหวัง NTS ก็ยังมีข้อกังวลอยู่ในบางกรณี เช่น การใช้การเข้ารหัสแบบอสมมาตรอาจทำให้เกิดความเสี่ยงในการที่ผู้โจมตีจะทำ DDoS โดยบังคับให้ระบบประมวลผลการเข้าและถอดรหัสที่นาน (จากเดิมที่นานและใช้ทรัพยากรเยอะพอสมควร) ในประเด็นนี้นั้น RFC8915 มีการระบุถึงผลกระทบที่ต่ำหากถูกโจมตีจริง เช่นเดียวกับกระบวนการตรวจสอบขนาดของข้อมูลเพื่อป้องกัน DDoS amplifcation ซึ่งก็ยังไม่สามารถทำได้ 100%

RFC เป็นแนวทางเพื่อการอ้างอิง การอิมพลีเมนต์แนวทางจาก RFC สามารถเกิดขึ้นถ้าในแบบที่แย่หรือดีกว่าซึ่งต้องติดตามกันต่อไป ทั้งนี้ใครสนใจที่จะอ่าน RFC ฉบับนี้โดยตรงสามารถเข้าอ่านได้ที่ https://tools.

Read more

Latest DoS Attacks Used Old Protocol for Amplification

Akamai หนึ่งในผู้ให้บริการ Cloud Services และ Content Delivery Network ขนาดใหญ่ที่สุดของโลก ได้ออกมาเตือนภัยของการโจมตี DDoS รูปแบบใหม่ที่ใช้เราท์เตอร์ตามบ้านหรือธุรกิจขนาดเล็ก (SOHO Router) เป็นตัวเร่งปริมาณทราฟฟิค เพื่อโจมตีเป้าหมาย หรือที่เรียกว่า Amplification Attack โดยใช้โปรโตคอลแลกเปลี่ยนข้อมูลเส้นทางเก่าแก่อย่าง RIPv1 ในการเร่งปริมาณทราฟฟิคถึง 130 เท่า

แทนที่จะใช้โปรโตคอล DNS หรือ NTP ทาง Akamai ตรวจพบ DDoS ทราฟฟิคที่ใช้โปรโตคอล RIPv1 ซึ่งคาดว่าแฮกเกอร์ได้ทำการส่ง Request ไปยังกลุ่มเราท์เตอร์ที่ใช้ RIPv1 เพื่อให้เราท์เตอร์เหล่านั้นส่ง Response ซึ่งมีขนาดใหญ่กว่าหลายเท่าไปยังเป้าหมายที่ต้องการโจมตี จากการตรวจสอบ พบว่า Request ทั่วไปจะมีขนาด 24 Bytes แต่ Response จะมีขนาดใหญ่เป็นจำนวนเท่าของ 504 Bytes ซึ่งบางครั้งอาจใหญ่ถึง 10 เท่า (5,040 Bytes) ซึ่งทราฟฟิค DDoS ที่ตรวจจับได้มีค่าเฉลี่ยในการเร่งขนาดถึง 13,000 เปอร์เซ็น จากต้นทุน Request ขนาด 24 Bytes

Akamai ระบุว่า จากการตรวจสอบการโจมตี DDoS ที่ใช้โปรโตคอล RIPv1 นี้ พบว่ามีขนาดใหญ่สุดที่ 12.8 Gbps โดยใช้เราท์เตอร์ประมาณ 500 เครื่องในการรุมโจมตีเป้าหมาย นอกจากนี้ Akamai ยังได้ทำการตรวจสอบอุปกรณ์ที่คาดว่ามีความเสี่ยงที่จะถูกใช้ในการโจมตีรูปแบบดังกล่าว มีปริมาณมากถึง 53,693 เครื่อง ซึ่งส่วนใหญ่เป็นเราท์เตอร์ที่ใช้งานตามบ้านหรือธุรกิจขนาดเล็ก
เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแบบ RIPv1-based DDoS Attack แนะนำว่าผู้ใช้งานควรจำกัดการเข้าถึงพอร์ท UDP 520 ซึ่งเป็นพอร์ทของโปรโตคอล RIP และสำหรับผู้ที่ใช้เราท์เตอร์ที่ใช้งาน RIPv1 อยู่ แนะนำว่าให้เปลี่ยนไปใช้ RIPv2 แทน

ที่มา : eWEEK

Read more

Network Time Protocol daemon (ntpd) contains multiple vulnerabilities

พบช่องโหว่ร้ายแรงในโปรโตคอลที่ใช้ในการ sync เวลาของระบบในเน็ตเวิร์ค เรียกว่า NTP ซึ่งช่องโหว่นี้จะมีผลต่อ NTP เวอร์ชั่นก่อนหน้า 4.2.8 โดยแฮกเกอร์สามารถใช้ช่องโหว่นี้ในการ overflow buffer ซึ่งจะทำให้แฮกเกอร์สามารถส่งคำสั่งไปยังเซิร์ฟเวอร์ของเหยื่อได้ และคำสั่งนี้จะถูกรันด้วยสิทธิของ NTP Daemon process ซึ่งขณะนี้ยังไม่มีคนแน่ใจว่าสิทธิของ NTP process นี้สามารถใช้ทำอะไรได้บ้างบนเซิร์ฟเวอร์ แต่คาดเดาว่ามีสิทธิเทียบเท่า root และถึงแม้ว่าสิทธิจะถูกจำกัด แต่แฮกเกอร์สามารถใช้ช่องโหว่อื่นในการเพิ่มสิทธิ คำสั่งที่ส่งไปนั้นสามารถทำให้แฮกเกอร์ลงโปรแกรม, เปลี่ยนหรือลบข้อมูล และ เพิ่มแอคเคาท์ที่มีสิทธิของแอดมิน

Read more