Компьютерная команда экстренной готовности США (US-CERT) разместила на своем интернет-сайте предупреждение о набирающих силу DDoS-атаках, использующих серверы синхронизации точного времени для многократного усиления трафика. Зараженные компьютеры отправляют запрос monlist с поддельным IP-адресом отправителя к NTP-серверу. Запрос monlist возвращает список из последних 600 клиентов ntpd. В результате размер ответа во много раз превышает исходный запрос (на загруженных серверах на запрос в 234 байт возвращается ответ в 48 Кб), что позволяет многократно усилить объём трафика, генерируемого в сторону системы жертвы. Проблему усугубляет то, что команда monlist выполняется без аутентификации.

Атаке подвержены версии ntpd до 4.2.7p26 (стабильная сейчас 4.2.6p5).

Соответствующее уведомление о найденной уязвимости было разослано всем нашим клиентам арендующих сервера на базе ОС Freebsd еще 13 января. Пути решения описаны на официальном сайте Freebsd. Клиентам которые предоставили нашей технической поддержке свои root-пароли, уязвимость была устранена силами наших специалистов.

Проверить свой сервер на NTP уязвимость можно выполнив команду:

ntpdc -c monlist адрес_вашего_сервера

Если команда выдает список клиентов, а не «timed out, nothing received», значит система подвержена уязвимости.

Пути решения:

Отключить monlist в файлке ntp.conf. Для этого необходимо добавить строчку с содержимым “disable monitor”

Обновить ntpd до версии 4.2.7p26. В FreeBSD обновите порты и установите ntpd из net/ntp-devel.