Menú principal

martes, 23 de diciembre de 2014

Hotfix crítico de Apple para el protocolo NTP en OS X

El año que se cierra ha dejado alguna noticia más que interesante respecto al protocolo NTP, como por ejemplo su uso en el mayor ataque de denegación de servicio que, a día de hoy, ha existido en Internet. La técnica utilizada fue la denominada como NTP Amplification y consiste en enviar un paquete UDP, el cual su respuesta es N veces mayor. De esta manera si diversas máquinas generan tráfico, obteniendo un valor N veces mayor en la respuesta, se puede lograr enviar dicho tráfico a los objetivos que se quiera. En esta ocasión la vulnerabilidad que el equipo de Apple ha solventado originaba la posibilidad de ejecutar código arbitrario con los privilegios del proceso ntpd.

Los investigadores del equipo de seguridad de Google Neel Mehta y Stephen Roettger han coordinado múltiples vulnerabilidades con el CERT en relación a dicha vulnerabilidad. Como NTP es ampliamente utilizado dentro de los despliegues de sistemas operativos de control industrial, es algo bastante crítico, ya que muchos atacantes podrían aprovecharse de estos fallos para explotar infraestructuras críticas. 

Figura 1: Actualización de seguridad de NTP
Además, la vulnerabilidad podría ser explotada remotamente. Los exploits se encuentran disponibles públicamente, por lo que cualquier usuario puede montarse un entorno de pruebas y realizar sus pequeños tests. Los productos que utilizan el servicio NTP en su versión inferior a la 4.2.8 se ven afectados. Este año ha sido dificil para Apple, ya que ha tenido que lidiar con diversas vulnerabilidades críticas y que afectaban a sus productos, tenemos que recordar el famoso Heartbleed o Shellshock. La actualización de seguridad se puede descargar desde la Mac App Store.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares