News vom 06.03.2015
Meinberg Security Advisory: [MBGSA-1501] NTP, OpenSSL und GLIBC Schwachstellen
CVE-IDs:
[NTP]:
CVE-2014-9293
CVE-2014-9297
CVE-2014-9298
[GLIBC]:
CVE-2014-9402
CVE-2015-0235
[OPENSSL]:
CVE-2014-3571
CVE-2014-3569
CVE-2014-3572
CVE-2015-0204
CVE-2014-8275
CVE-2014-3570
(zum Zeitpunkt der Veröffentlichung dieses MBGSA waren einige der CVE Einträge noch nicht online)
1. Beschreibung des Problems
Die Referenz Implementierung von NTP und die GNU C Library glibc die in LANTIME Systemen verwendet werden, enthalten mehrere Bugs die zu Sicherheitsproblemen führen können.Auch das OpenSSL Projekt hat Schwachstellen in ihrer Software entdeckt, die mit der Version 0.9.8ze geschlossen wurden.
Die meisten NTP Schwachstellen wurden bereits in den aktuellen Firmware Versionen für Meinberg LANTIME Systeme behoben. Es wurden aber seitdem zwei neue Schwachstellen erkannt (CVE 2014-9298 und 2014-9297), die erst vor wenigen Tagen veröffentlicht wurden. Das NTP Public Services Project hat bekanntgegeben, dass diese Schwachstellen in der neuesten NTP Version 4.2.8p1 nicht mehr vorhanden sind. Die meisten der in den letzten Wochen gefundenen NTP Sicherheitsprobleme können nur dann für Angriffe ausgenutzt werden, wenn das Autokey Feature eingeschaltet ist. Da dieses Sicherheitsverfahren bereits als nicht sicher eingestuft wurde, empfiehlt Meinberg, es nicht zu verwenden. Im Auslieferungszustand ist es bei LANTIME Produkten bereits deaktiviert. Daher muss es auf einem LANTIME nur dann aktiv deaktiviert werden, wenn es vorher vom Anwender eingschaltet wurde.
Eine andere NTP Schwachstelle betrifft die für NTP eingestellten Zugriffsbeschränkungen ("restrictions"). Wenn ein Angreifer ein IPv6-Paket sendet, bei dem er die Absenderadresse auf "::1" gefälscht hat, kann er damit ggf. NTP Restrictions umgehen, die für andere Adressen konfiguriert worden sind.
Die glibc Schwachstelle, die durch eine fehlerhafte Implementierung der "get_host_by_name" Funktion in der Library vorhanden ist, erlaubt es Angreifern, unter bestimmten Randbedingungen beliebigen (Schad-)Code auszuführen. Diese Schwachstelle wurde in den Medien mit dem Spitznamen "GHOST" bedacht und der entsprechende CVE 2015-0235 wurde am 28.01.2015 veröffentlicht.
Am 24.02.2015 wurde eine weitere neue Schwachstelle in der glibc bekanntgegeben. Diese Schwachstelle betrifft die Library Funktion "getnetbyname" und kann einen Denial of Service Angriff erlauben, indem die die C-Bibliothek verwendende Software in einen sogenannten "infinite loop", also eine Endlosschleife gezwungen wird.
2. Betroffene Systeme
Alle LANTIME Firmware Versionen vor V6.16.008 und alle Firmware Versionen von 6.17.001 bis 6.17.005 sind theoretisch von diesen Schwachstellen betroffen.Alle NTP V4.x Versionen vor 4.2.8p1 sind laut den NTP Entwicklern von den genannten NTP Schwachstellen betroffen.
3. Mögliche Gegenmaßnahmen
Meinberg Produkte
Alle genannten Schwachstellen wurden von Meinberg in die in der 6.16 und 6.17 Firmware verwendeten NTP und glibc Version portiert. V6.16 Systeme sollten die ab heute verfügbare Version 6.16.008 installieren und verwenden. Für V6.17 Systeme wird am 13.03.2015 die Version 6.17.006 veröffentlicht, die ebenfalls alle in diesem Advisory angegebenen Schwachstellen schliesst.
Meinberg LANTIME Firmware Updates
Um LANTIME Systeme zu schützen, die nicht auf 6.16.008 oder 6.17.006 aktualisiert werden können, empfehlen wir das Deaktivieren der Autokey Funktion und die Einrichtung von Firewall Schutzregeln, um den Zugriff aus Netzwerken zu verhindern, die nicht vertrauenswürdig sind. Bitte beachten Sie, dass Autokey standardmäßig deaktiviert ist und nur dann von Ihnen wieder ausgeschaltet werden muß, wenn Sie es vorher auf Ihren LANTIME Systemen eingeschaltet haben.Bisher haben wir keine Möglichkeit gefunden, die beschriebenen glibc Schwachstellen auf einem LANTIME System auszunutzen, außer man hat Zugriff auf die CLI Shell. Da das nur für Superuser möglich ist, die bereits alle erforderlichen Rechte haben und somit keinen praktischen Nutzen aus dem Ausnutzen der Schwachstelle ziehen würden, ist die praktische Auswirkung aus unserer Sicht sehr gering. Das Schliessen dieser Schwachstellen haben wir dennoch aus Sorgfalt durchgeführt.
Andere NTP Installationen
Wenn Sie Ihre NTP Version nicht auf 4.2.8p1 oder eine gepatchte Version Ihres Betriebssystem-Herstellers aktualisieren können, können Sie durch das Deaktivieren von Autokey die meisten der genannten NTP Sicherheitsprobleme umgehen. Dazu müssen Sie alle Konfigurationsdatei-Einträge entfernen oder auskommentieren, die mit der "crypto" Direktive beginnen.Um gegen das Spoofen der ::1 IPv6 Absenderadresse geschützt zu sein, müssen Sie Ihrem System entsprechende Firewall Regeln hinzufügen, die alle IPv6 Pakete abweisen bzw. löschen, die den Absender ::1 haben und aus einem externen Netzwerk stammen. Bei den meisten Linux-basierten Systemen sind das alle Netzwerkschnittstellen außer 'lo'. Einige OS-Hersteller haben eventuell bereits eigene Sicherheitspatches diesbezüglich veröffentlicht.
HINWEIS: Um mehr über die Bedeutung und Verwendung der Konfigurationsbefehle von NTP zu erfahren, kann die NTP Dokumentation auf http://doc.ntp.org eingesehen werden. Die hier gezeigten Konfigurationsbeispiele sollten mit allen ntpd Versionen von 4.2.0 bis 4.2.8 funktionieren, mit der Einschränkung, dass IPv6 betreffende Befehle natürlich nur auf Systemen eingesetzt werden können, die auch IPv6 Support haben.
4. Weitere Quellen
Mehr über diese Sicherheitsprobleme können Sie auf den folgenden Websites erfahren:
Security Notice of the NTP Public Services Project
Vulnerability Note for NTP published by the National Vulnerability Database
Vulnerability Note for GLIBC published by the National Vulnerability Database
Security Advisory published by the OpenSSL Project
Bitte zögern Sie nicht, Ihren Meinberg Support zu kontaktieren, wenn Sie noch Fragen haben oder Unterstützung benötigen.