-------- Weitergeleitete Nachricht --------
Betreff:
[CERT-Bund#2014100228001729] NTP-Server mit aktiver 'monlist' Funktion in AS31400 - 2015-01-07
Datum:
Fri, 9 Jan 2015 03:00:22 +0000
Von:
CERT-Bund Reports <reports@reports.cert-bund.de>
An:
abuse@accelerated.de
 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
 
[CERT-Bund#2014100228001729]
 
Sehr geehrte Damen und Herren,
 
in den letzten Monaten haben DDoS-Angriffe mittels NTP-Amplification
weiter zugenommen. Auch eine große Anzahl in Deutschland gehosteter
NTP-Server wird regelmäßig für derartige Angriffe missbraucht.
 
Die Angreifer nutzen dabei die 'monlist'-Funktion von NTP-Servern,
welche in älteren Versionen standardmäßig aktiviert war. Weitere
Informationen hierzu finden Sie in den unten aufgeführten Quellen.
 
Im Rahmen des Shadowserver 'Open NTP Monitor Scanning Projects'
werden NTP-Server identifiziert, welche aktuell noch eine Anfrage
mittels des 'monlist'-Kommandos beantworten. Diese NTP-Server können
potenziell für DDoS-Angriffe mittels NTP-Amplification missbraucht
werden, sofern keine anderen Gegenmaßnahmen implementiert wurden.
 
Nachfolgend senden wir Ihnen eine Liste der betroffenen NTP-Server
in Ihrem Netzbereich. Der Zeitstempel gibt an, wann der NTP-Server
geprüft wurde und das 'monlist'-Kommando beantwortet hat.
Zusätzlich ist die Größe der Antwort des NTP-Servers auf die
'monlist'-Abfrage angegeben. Mit dieser Benachrichtigung werden
nur NTP-Server gemeldet, bei denen im Rahmen der Prüfung die Größe
der Antwort mindestens das Zehnfache der Größe der Anfrage betrug.
 
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der NTP-Server zu ergreifen.
 
Referenzen:
 
[1] CERT-Bund: NTP: Missbrauch des monlist Kommandos ermöglicht einen
    Denial-of-Service-Angriff
    <https://www.cert-bund.de/advisoryshort/CB-K14-0020>
[2] BSI: Maßnahmen gegen Reflection Angriffe
    <https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/
     anwender/dienste/BSI-CS_096.pdf>
[3] CERT.org: NTP can be abused to amplify denial-of-service attack traffic
    <http://www.kb.cert.org/vuls/id/348126>
[4] US-CERT: NTP Amplification Attacks Using CVE-2013-5211
    <https://www.us-cert.gov/ncas/alerts/TA14-013A>
[5] NTP.org Security Notice
    <http://support.ntp.org/bin/view/Main/SecurityNotice>
[6] Shadowserver: Open NTP Monitor (Mode 7) Scanning Project
    <https://ntpmonitorscan.shadowserver.org/>
 
Diese E-Mail ist mittels PGP digital signiert. Informationen zu dem
verwendeten Schlüssel finden Sie auf unserer Webseite unter:
<https://www.cert-bund.de/reports-sig>
 
Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht.
An die Absenderadresse kann nicht geantwortet werden.
Bei Rückfragen wenden Sie sich bitte an <certbund@bsi.bund.de>.
 
 
Liste der betroffenen NTP-Server in Ihrem Netzbereich:
 
Format: ASN | IP-Adresse | Zeitstempel (UTC) | Antwortgröße
 
 31400 | x.x.x.x   | 2015-01-07 07:55:21 | 44000
 
 
Mit freundlichen Grüßen
Team CERT-Bund
 
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat C21 - CERT-Bund
Godesberger Allee 185-189
D-53175 Bonn
 
-----BEGIN PGP SIGNATURE-----
Comment: Key verification: <https://www.cert-bund.de/reports-sig>
 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=aHR4
-----END PGP SIGNATURE-----