BSI warnt vor kritischen Zero-Day-Lücken im NTP-Server
Ein IT-Forscher hat fünf Sicherheitslücken im Zeitserver NTP gemeldet. Das BSI stuft die Lücken als kritisch ein. Ein Update steht bislang noch nicht bereit.
(Bild: Min C. Chiu/Shutterstock.com)
Über das CERT-Bund warnt das BSI vor Sicherheitslücken im Zeitserver NTP. Ein IT-Forscher hat am Dienstag dieser Woche fünf Sicherheitsmeldungen veröffentlicht, durch die Angreifer aus dem Netz Schadcode einschleusen und ausführen oder Denial-of-Service-Zustände provozieren können. Da noch keine Updates bereitstehen, handelt es sich um Zero-Day-Lücken.
Aktueller NTP-Server von ntp.org betroffen
Die Schwachstellen betreffen den NTP-Server von ntp.org in Fassung 4.2.8p15. Auf der NTP-Download-Seite steht seit dem 23. Juni 2020 keine neuere Version zum Herunterladen bereit.
Die Schwachstellenbeschreibungen, ausgestattet auch mit Links auf Proof-of-Concept-Exploitcode, finden sich in einem Github-Projekt. Vier der Schwachstellen betreffen libntp/mstolfp.c. An mehreren Stellen des Codes können Puffer überlaufen und Angreifer so auf Speicherbereiche außerhalb der vorgesehenen Grenzen schreiben. Dies gelingt durch das Senden sorgsam präparierter, bösartiger Datenpakete (CVE-2023-26551, CVE-2023-26552, CVE-2023-26553, CVE-2023-26554).
Die fünfte Sicherheitslücke befindet sich in der Datei ntpd/refclock_palisade.c. Angreifer aus dem Netz könnten durch das Senden bösartiger Datenpakete einen Denial-of-Service provozieren; laut weiterer Beschreibung sei jedoch auch als Auswirkung die Ausführung beliebigen Codes möglich (CVE-2023-26555).
Als "kritisch" eingestuft
Das BSI stuft die Lücken mit einem CVSS-Wert von 9.8 als "kritisch" ein. Da noch keine Aktualisierungen bereitstehen, sollten Administratoren insbesondere den Zugriff von externen Quellen auf eigene verwundbare NTP-Infrastruktur unterbinden. Bis zur Bereitstellung von aktualisierten ntp-Paketen ist es zudem möglicherweise ratsam, temporär auf einen alternativen NTP-Dienst auszuweichen und den verwundbaren zu deaktivieren.
Derart heikle Schwachstellen hatte länger kein IT-Forscher mehr im NTP-Dienst gefunden. Zuletzt waren etwa 2015 Angriffsmöglichkeiten auf NTP bekannt geworden, durch die Angreifer die Kommunikation zwischen Client und Server manipulieren und dadurch dafür sorgen konnten, dass dort falsche oder gar keine Zeit-Werte mehr ankamen.
(dmk)
