BIND 9 の TKEY 機能における実装不備により遠隔からサービス不能にされてしまう脆弱性(Scan Tech Report)
DNS サーバを構築するためのソフトウェアである BIND 9 に遠隔からサービスを不能とすることが可能となる脆弱性が報告されています。
脆弱性と脅威
DNS サーバを構築するためのソフトウェアである BIND 9 に遠隔からサービスを不能とすることが可能となる脆弱性が報告されています。当該脆弱性を利用して攻撃者に DNS サーバの機能を停止され偽の DNS サーバを設立されることにより、攻撃対象者は悪意のある Web コンテンツに誘導されてしまう可能性があります。
2.深刻度(CVSS)
7.8
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2015-5477&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)
3.影響を受けるソフトウェア※1
以下のバージョンの BIND が当該脆弱性の影響を受ける可能性があります。
- 9.1.0 から 9.8.x 系の全てのバージョン
- 9.9.0 から 9.9.7-P1
- 9.10.0 から 9.10.2-P2
ただし、以上に示したバージョンのソフトウェアでも、OS のベンダが独自にパッチを適用している場合があるため、パッチが場合は当該脆弱性の影響を受けません。
4.解説
DNS サーバを構成するソフトウェアである BIND のバージョン 9 系に、遠隔からサービスを停止させることが可能な脆弱性が報告されています。
BIND 9 では、マスタサーバがスレーブサーバの間でアップデート情報を転送する際に、攻撃者による中間者攻撃などを防ぐために、TSIG 機能というものが存在します。TSIG 機能では、暗号鍵やパスワードによる認証機能を提供しています。当該機能では、サーバとクライアントの間でパスワードを安全に交換するために、TKEY 機能により公開鍵を用いてパスワードの交換を行います。
脆弱性は、TKEY 機能を構成するプログラム lib/dns/tkey.c に含まれる dns_tkey_processquery() メソッドの dns_message_findname() 関数内での変数処理に不備があるため生じています。
DNS プロトコルでは、どのような情報が要求されているかをサーバに伝えるためにクエリレコードが用いられます。攻撃では、クエリレコードのパラメータの内 Name パラメータと Type パラメータが用いられます。Name パラメータは主にドメイン名、Type パラメータにはどのような情報 (MX レコードなど) が要求されているかを指定します。
クエリレコードで宣言された情報が不十分である場合は追加レコードが参照されます。追加レコードでは、クエリレコードで指定された Name パラメータと Type パラメータが一致する情報を検索し、情報の追加を行います。BIND が提供する TKEY 機能に対するクエリでは、lib/dns/tkey.c のメソッドである dns_tkey_processquery() を用いて追加レコードの検索を行います。当該脆弱性は dns_tkey_processquery() メソッドの dns_message_findname() 関数における name 変数の処理の不備に起因しています。
追加レコードで必要な情報が検索できなかった場合は、応答レコードに対して検索を行います。まず、追加レコード内でクエリレコードの Name パラメータ (name 変数) と一致する情報を検索します。一致する情報が一つでも見つかった場合は、一致するすべての情報が foundname 変数に格納され、name 変数が初期化されます。次に、foundname 変数に格納された情報の内、クエリレコードで指定した Type パラメータが一致するものを検索します。この際に TKEY が検索されれば dns_message_findname() 関数は正の戻り値を出力し、応答レコードの検索を行わず情報の検索を終えますが、TKEY が検索できなかった場合は dns_message_findname() 関数内で name 変数の検証で異常が発生し、BIND のプロセスが assertion error により終了します。
実際に当該脆弱性を利用して攻撃を行うためには、以下のクエリを DNS サーバに送信します。
(1) クエリレコードの Type パラメータに "TKEY"、Name パラメータに適当なドメイン名を指定します。
(2) 追加レコードの情報として、クエリレコードと一致する Name パラメータを指定し、Type パラメータに "TKEY" 以外のものを指定する。
当該脆弱性を用いた攻撃によりサービスが停止した場合、/var/log/messages に以下のような行が出力されます。
Aug 31 20:14:51 localhost named[1746]: message.c:2311: REQUIRE(*name == ((void *)0)) failed, back trace
5.対策
当該脆弱性は TKEY 機能を無効にしていても影響を受けるため、設定の変更による対処が出来ません。以下のバージョンに BIND をアップデートすることにより、対処することが可能です。
- 9.9.7-P2
- 9.10.2-P3
また「◆影響を受けるソフトウェア」にも記載した通り、OS によってはパッチが適用されたバージョンにアップデートされる場合もあるため、各ベンダが公開している情報を確認することを推奨します。
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
関連リンク
編集部おすすめの記事
-
Apple OS X Yosemite の DYLD_PRINT_TO_FILE に存在する権限昇格の脆弱性(Scan Tech Report)
-
Windows のカーネルドライバにおけるデータ処理の不備により権限昇格されてしまう脆弱性(Scan Tech Report)
-
Adobe Flash Player の opaqueBackground における解放済みメモリ使用の不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)
-
Ubuntu のファイルシステム Overlayfs における権限の検証不備により権限昇格されてしまう脆弱性(Scan Tech Report)
特集
Scan Tech Report
-
TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)
2024 年 3 月に公開された、JetBrains 社の TeamCitry の脆弱性…
-
Windows 版 GlobalProtect App における権限昇格につながる任意のファイル削除の脆弱性(Scan Tech Report)
-
FileCatalyst Workflow における任意のコード実行につながるパストラバーサルの脆弱性(Scan Tech Report)
-
Nagios XI の monitoringwizard.php における SQL Injection の脆弱性(Scan Tech Report)
-
runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
-
Cacti における遠隔コード実行につながる複数の脆弱性(Scan Tech Report)
-
Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)
株式会社ラック(LAC)
-
TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)
2024 年 3 月に公開された、JetBrains 社の TeamCitry の脆弱性…
-
Windows 版 GlobalProtect App における権限昇格につながる任意のファイル削除の脆弱性(Scan Tech Report)
-
FileCatalyst Workflow における任意のコード実行につながるパストラバーサルの脆弱性(Scan Tech Report)
-
2023年にネットバンキングの不正送金が急増した理由
-
Nagios XI の monitoringwizard.php における SQL Injection の脆弱性(Scan Tech Report)
-
ラックが2024年3月期 通期決算を公表、売上高は前期比12.4%増
-
runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
Scan PREMIUM 倶楽部
-
レッドチーム演習大成功 丸五か月間誰も気づけず
CISA は、これを「SILENTSHIELD 評価」と呼んでいる。CISA の…
-
今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか
-
ランサムウェア集団が謝罪
-
TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)
-
裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]
-
開発元にソフトウェアの製造責任を負わせるのは合理的?
-
支払額倍増の場合も ~ オラクルが Fortune 200 へ Java ライセンスに関する監査書送付を開始
-
被告:CISO ~ 実例で考える CISO が訴訟されるリスク
DNS
-
Windows DNS の脆弱性情報が公開
株式会社日本レジストリサービス(JPRS)は4月12日、Windows …
-
TwoFive メールセキュリティ Blog 第8回「企業メールドメインやDNSをSaaSで管理する際の注意ポイント」
-
JPRS、Windows DNSの脆弱性情報を公開
-
dnsmasqにDNSpooqと名付けられた脆弱性、組み込みシステムやネットワーク機器が対象となる場合も
-
DNS over HTTPS はインターネットの良心を破壊するか? ポール・ビクシー講演
-
キャッシュDNSサーバ「Knot Resolver」にDoS攻撃を受ける脆弱性(JPRS)
-
クラウド時代が C2 サーバーの「見えない化」加速、DNS,AWS,Azure,GCP の悪用
-
キャッシュDNSサーバ「Unbound」にシェルコード実行の脆弱性(JPRS)
脆弱性と脅威 アクセスランキング
-
Assimp にヒープベースのバッファオーバーフローの脆弱性
-
スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題
-
「ポケモンセンターオンライン」を装ったフィッシングサイトに注意喚起(ポケモンセンター)
-
NETGEAR 製ルータにバッファオーバーフローの脆弱性
-
JPCERT/CC、仮想通貨マイニングツールのXMRigの設置を狙った攻撃を順序立てて詳説~対策マニュアルとしても有効
-
PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも
-
メルカリがフィッシング詐欺に注意喚起、アプリの利用など推奨
-
「GROWI」にWebブラウザ上で任意のスクリプトを実行される複数の脆弱性(JVN)
-
同日に再攻撃やフリーツール悪用も、2022年下半期 IPA 届出事例
-
「マンションのWi-Fiが遅いから切り替えます」関係者装った悪質勧誘が横行、法に基づき社名を公表(消費者庁)