公開日:2014/01/14 最終更新日:2021/02/17

JVNVU#96176042
NTP が DDoS 攻撃の踏み台として使用される問題

概要

Network Time Protocol project が提供する NTPD の管理機能には、DDoS 攻撃の踏み台として使用される問題があります。

影響を受けるシステム

  • NTPD 4.2.7p26 より前のバージョン

詳細情報

Network Time Protocol project が提供する NTPD には、サーバの管理用に monlist 機能が実装されています。monlist 機能は、リクエストに対して非常に大きなレスポンスを返す可能性があります。この機能へのアクセスが適切に制限されていない場合、DDoS 攻撃の踏み台として使用される可能性があります (CWE-406)。

なお、本脆弱性を使用した攻撃が報告されています。

想定される影響

遠隔の第三者によって、他のサイトに対する DDoS 攻撃に使用される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

  • NTPD の設定により、monlist 機能を無効にする
  • NTPD の設定により、monlist 機能へのアクセスを制限する
  • ネットワーク機器の設定により、monlist 機能へのアクセスを制限する

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品あり 2014/06/04
サイボウズ株式会社 該当製品無し 2015/03/17
古河電気工業株式会社 該当製品無し 2014/01/14
日本電気株式会社 該当製品あり 2016/01/28
日立 該当製品あり(調査中) 2014/01/21
株式会社インターネットイニシアティブ 該当製品あり 2014/01/16 株式会社インターネットイニシアティブ の告知ページ
株式会社バッファロー 該当製品無し 2014/01/14
株式会社ビー・ユー・ジー 該当製品無し 2014/01/14
株式会社リコー 該当製品無し 2021/02/17
横河メータ&インスツルメンツ株式会社 該当製品無し 2014/01/14
横河電機株式会社 該当製品無し 2014/06/10
ベンダ リンク
Network Time Protocol project Bug 1532 - remove ntpd support for ntpdc's monlist (use ntpq's mrulist)
NTP Software Downloads
NetBSD NetBSD Security Advisory 2014-002

参考情報

  1. CERT/CC Vulnerability Note VU#348126
    NTP can be abused to amplify denial-of-service attack traffic
  2. US-CERT Alert (TA14-013A)
    NTP Amplification Attacks Using CVE-2013-5211
  3. Nmap.org
    ntp-monlist NSE Script

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2014.01.14における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 ユーザが何もしなくても脆弱性が攻撃される可能性がある
攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
  • 中 - 高

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2014-0001
ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-5211
JVN iPedia JVNDB-2013-005768

更新履歴

2014/01/14
横河メータ&インスツルメンツ株式会社のベンダステータスが更新されました
2014/01/15
参考情報と関連文書を更新しました
2014/01/16
株式会社インターネットイニシアティブのベンダステータスが更新されました
2014/01/20
日立のベンダステータスが更新されました
2014/01/21
日立のベンダステータスが更新されました
2014/01/24
日本電気株式会社のベンダステータスが更新されました
2014/01/28
日本電気株式会社のベンダステータスが更新されました
2014/02/04
アライドテレシス株式会社のベンダステータスが更新されました
2014/02/05
アライドテレシス株式会社のベンダステータスが更新されました
2014/02/07
日本電気株式会社のベンダステータスが更新されました
2014/03/26
日本電気株式会社のベンダステータスが更新されました
2014/04/08
日本電気株式会社のベンダステータスが更新されました
2014/05/29
アライドテレシス株式会社のベンダステータスが更新されました
2014/06/04
アライドテレシス株式会社のベンダステータスが更新されました
2014/06/10
横河電機株式会社のベンダステータスが更新されました
2015/03/17
サイボウズ株式会社のベンダステータスが更新されました
2016/01/29
日本電気株式会社のベンダステータスが更新されました
2021/02/17
株式会社リコーのベンダステータスが更新されました