www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(30) 「BIND の TEKY DoS」

BIND お見舞い申し上げます。ハニーポッターの森久です。

毎年7月には DNS サーバの BIND の脆弱性がよく公開される時期です。今年もまたある脆弱性が公開されました。しかも容易に攻撃可能で危険性の高い脆弱性が!
ハニーポットでこの脆弱性を狙った攻撃を検知したので紹介します。

検知したパケットを Wireshark で表示しました。

BIND の TKEY DoS 攻撃パケット

※一部の情報を意図的に伏せています。

TKEY リソースレコードを利用した CVE-2015-5477 の脆弱性を狙った攻撃です。使われているパラメータより、すでに公開されている PoC の「crashbind.c」を利用した攻撃と考えられます。

この脆弱性に対する回避策は提示されておらず、BIND のバージョンアップという根本対策を実施するしかありません。脆弱性公開から1ヶ月経つので、多くのサーバではすでに対策済みであると思います。

しかしながら今後も(特に7月?) BIND の危険性の高い脆弱性が公開される可能性は十分ありえます。そのため可能な限り、DNS サービスを BIND だけに頼るのだけではなく、BIND + その他の DNS ソフトウェアで冗長化することを検討すべきでしょう。BIND の実装に依存する脆弱性であれば、DNS のサービス停止になるようなリスクを軽減することが可能です。

 

余談

今回の攻撃は DNS サービスを提供していない Web サーバに対する攻撃でした。そのためインターネット上のサーバの脆弱性をスキャンする攻撃の一部かと考えました。しかし同時期にその他のサーバでは、同一の攻撃の検知はありませんでした。そのため特定のネットワークレンジを狙ったスキャンの可能性が考えられます。

 

参考情報

BINDお見舞い申し上げます(Miscellaneous memo (RSH.CSH.SH))
http://rsh.csh.sh/misc/20130727-bind.html

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(JPRS)
http://jprs.jp/tech/security/2015-07-29-bind9-vuln-tkey.html

CVE-2015-5477: An error in handling TKEY queries can cause named to exit with a REQUIRE assertion failure(ISC Knowledge Base)
https://kb.isc.org/article/AA-01272

A quick review of the BIND9 code(Errata Security)
http://blog.erratasec.com/2015/07/a-quick-review-of-bind9-code.html

BINDのDOS脆弱性(CVE-2015-5477)についての調査と対策(k0u5uk3’s blog)
http://blog.k0u5uk3.net/entry/2015/08/01/000000

UnboundとNSDの紹介 BIND9との比較編
http://www.slideshare.net/hdais/nsd-unboundintro

 

Written by morihisa

8月 27th, 2015 at 8:30 pm