Dopo DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei dispositivi.
Prolexic ha evidenziato come sia possibile utilizzare gli host esposti a Internet con attivo SNMP per portare un attacco distribuito (DDoS) come è già successo con DNS e NTP.
(altro…)CloudFlare è stato attaccato con un pesante DDoS basato su un baco dell’implementazione di NTP.
Lo scorso dicembre Symantec aveva scoperto un metodo per sfruttare il comando monlist presente nelle vecchie versioni di ntpd per amplificare un attacco di DDoS. Al momento della pubblicazione dell’articolo già molte distribuzioni aggiornate di Linux erano indenni da questo problema, ma rimanevano comunque una gran quantità di server vulnerabili.
Il fattore di amplificazione di un attacco questo tipo può raggiungere anche 58,5; il che significa che chi dispone di 100 Mbit di banda può attaccare una vittima con un traffico che può arrivare a 5,85 Gbit.
Le versioni di ntpd dalla 4.2.7 compresa in su non hanno più la funzione monlist; nelle vecchie versioni si può utilizzare l’opzione noquery in ntp.conf.
Ironia della sorte, il 9 gennaio scorso era stato pubblicato nel blog di CloudFlare un articolo sugli attacchi via NTP.
Per scoprire se un server può essere utilizzato per un attacco di questo tipo si può utilizzare il servizio di Open NTP Project che esegue scansioni su blocchi di IP fino al /22.