SOC Report

Similar documents
SOC Report

SOC Report

SOC Report

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

学生実験

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

PowerPoint プレゼンテーション

SOC Report

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

DNSサーバー設定について

提案書タイトルサブタイトルなし(32ポイント)

SQLインジェクション・ワームに関する現状と推奨する対策案

HDE Controller X 1-5. DNS サーバー

目次 1 BIND 9 (UNIX) を利用する 設定例の環境 インストール 設定例のファイル構成 named.conf の設定例 ルート DNS サーバの設定 ループバックアドレス用ゾーンの

ドメイン ネーム システムの概要

Zone Poisoning

目次 1. サービス概要 提供機能... 2 DNS ゾーン... 2 正引き 逆引き... 2 レコードタイプ... 2 初期ゾーン... 3 コントロールパネル操作メニュー一覧 コントロールパネル ユーザ認証 ドメイン所有者確認

SOC Report

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

目次 1. サービス概要 提供機能... 2 DNS ゾーン... 2 正引き 逆引き... 2 権威ネームサーバへの反映... 2 レコードタイプ... 2 初期ゾーン... 3 GUI 操作メニュー一覧 エンドユーザ GUI ユーザ認証... 4

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ


2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

金融工学ガイダンス

SOC Report

SOC Report

Microsoft PowerPoint Windows-DNS.pptx

Microsoft Word - FreeBSD_LDPRELOAD002.doc

DNSのセキュリティとDNSに関する技術

ESMPRO/ServerManager Ver. 6 変更履歴

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

当社は 7-dj.com DNS アウトソーシングサービス に加入したく 7-dj.com インターネットサービス規約を承認の上 下記の通り申込みます 初期費用 月額費用は貴社の指定する課金方法にて支払います お申込者申込年月日年月日 フリガナ 法人名 フリガナ ご住所 フリガナ 連絡担当者氏名 (

Template Word Document

DNS(BIND9) BIND9.x のエラーをまとめたものです エラーと原因 ジオシティーズ容量大幅アップ セキュリティならお任せ! マイクロソフト 少ない初期導入コストで クラウド環境を構築! Ads by Yahoo!JAPAN 主にゾーン転送に関するエラー

DDoS攻撃について

SOC Report

SOC Report

SOC Report

Microsoft PowerPoint - BIND9新機能.ppt

サーバーで安全な設定とは 正しい情報を正しく提供する 不確かな情報を提供したりしない ( 安全というより正しい設定 ) サービス経由で侵入されない 万が一侵入されても被害を最小限にする 2

Drive-by Download 攻撃に おけるRIG Exploit Kitの 解析回避手法の調査

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える

SOC Report

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

Solaris フリーソフトウェア導入手順書 -BIND によるDNS サーバの構築-

conf_example_260V2_inet_snat.pdf

ご挨拶

SOC Report

Attack Object Update

VoIP-TA 取扱説明書 追加・修正についての説明資料

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

別紙 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 年第 3 四半期に登録した脆弱性の種類別件数図 8 のグラフは JVN ipedia へ 2012 年第 3 四半期に登録した脆弱性対策情

SOC Report

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

SHODANを悪用した攻撃に備えて-制御システム編-

スマート署名(Smart signing) BIND 9.7での新機能

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

— intra-martで運用する場合のセキュリティの考え方    

2.2 Reflected XSS 攻撃攻撃者の用意した悪意のあるリンクとターゲットサーバが同じホストである場合の Reflected XSS 攻撃を, 本稿では Reflected XSS 攻撃と呼ぶ. 例えば, サーバ A の target.php に Reflected XSS 脆弱性があった

SOC Report

1. ネットワーク経由でダウンロードする場合の注意事項 ダウンロード作業における確認事項 PC 上にファイアウォールの設定がされている場合は 必ずファイアウォールを無効にしてください また ウイルス検知ソフトウェアが起動している場合は 一旦その機能を無効にしてください プリンターは必ず停止状態 (

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

AWS からのメール配信の選択肢 1. EC2 上に Mail Transfer Agent (MTA) を構築して配信 2. Amazon Simple Service (SES) の利利 用 3. 外部 配信サービスの利利 用 3. については AWS 特有の 手順はない

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

SOC Report

Domain Time II

PowerTyper マイクロコードダウンロード手順

スライド 1

needlework_update_manual_rev1.4

DNS誕生日攻撃再び

2014/07/18 1

Oracle Solaris DNSサーバ構築手順書 -BINDの利用-

目次 1. はじめに 動作環境と操作上の注意事項 動作環境 操作上の注意事項 開始と終了 開始 終了 レコード情報編集 レコード情報編集の表示と基本操作

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

PowerPoint プレゼンテーション

BLOCK TYPE.indd

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

4 自己登録 の画面が表示されたら 送信 をクリックします 5 アクションが完了しました : 成功 が表示されたら 画面を下にスクロールし 画面右下隅の OK をクリックします 6Windows 用または Mac 用のキャンパスクラウドエージェントをクリックしてダウ ンロードしてください 8 ダウン

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

Knot DNS

Mobile Access簡易設定ガイド

DNSとメール

NTT Communications PowerPoint Template(38pt)

プレゼンテーション

キャッシュポイズニング攻撃対策

Apache-Tomcat と 冗長な UTF-8 表現 (CVE 検証レポート ) 2008 年 08 月 26 日 Ver. 0.1

LPI-Japan セミナー資料 Sugimatsu Hidetoshi 10 Sep LPIC レベル 2 技術解説無料セミナー 今回のセミナーでは 次の 4 つの項目をテーマにして解説します 1. 出題範囲の把握 2. 受験対策 3. DNS サーバを構成する 4. NFS サーバを

NTT Communications PowerPoint Template(38pt)

スライド 1

目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

PowerPoint プレゼンテーション

Transcription:

BIND9 Dynamic DNS の脆弱性について N T T コミュニケーションズ株式会社 IT マネジメントサービス事業部セキュリティオペレーションセンタ 2009 年 08 月 04 日 Ver. 1.1

1. 調査概要... 3 2. 脆弱性の概要... 3 3. 検証環境... 4 4. 攻撃コードの検証... 5 4.1. DYNAMIC DNS を利用していない場合 ( 正引き )... 5 4.2. DYNAMIC DNS を利用していない場合 ( 逆引き )... 7 4.3. スレーブ設定されたゾーンの場合... 9 5. 本脆弱性の影響を受ける設定... 10 5.1. DYNAMIC DNS 機能の利用者を制限している場合... 10 5.2. LOCALHOST の正引き 127.0.0.1 の逆引きを外部に公開している場合... 11 6. 対策 (VIEW ステートメントを使用した利用者制限 )... 14 7. まとめ... 16 8. 検証作業者... 17 9. 参考... 17 10. 履歴... 17 11. 最新版の公開 URL... 17 12. 本レポートに関する問合せ先... 18 2

1. 調査概要 2009 年 7 月 28 日に BIND 9.x の Dynamic DNS の脆弱性 (CVE-2009-0696) と この脆弱性を突いて DoS 攻撃を行う攻撃コードが公開された この DoS 攻撃は容易に実行する事が可能であり DNS サーバとして全世界で一般的に広く利用されている事から 影響も多大な範囲に広がる事が予想される 本レポートでは この脆弱性について検証を行った結果と考察を報告する 2. 脆弱性の概要 2009 年 7 月 28 日に発見された BIDN 9.x の脆弱性 (CVE-2009-0696) では BIND 9.x の Dynamic DNS 機能の脆弱性を悪用して不正に細工したパケットを送信すると DNS サーバをダウンさせる事ができる Dynamic DNS とはレコード情報を動的に更新する DNS の機能である Dynamic DNS を利用していない場合であっても影響を受ける (allow-update ステートメントで Dynamic DNS の利用者を制限している場合も同様に影響を受ける ) BIND 9.x でゾーン情報をマスターサーバとして設定している場合に影響を受ける この脆弱性においてサーバ運用者が特に注意しなければならないのは DNS サーバをスレーブサーバやキャッシュサーバとして利用している場合でも localhost の正引き 127.0.0.1 の逆引き等を外部から参照する事が可能な場合は この脆弱性の影響を受ける事である 3

3. 検証環境 本レポートで使用した検証環境は以下の通りである 攻撃対象の情報 攻撃元の情報 4

4. 攻撃コードの検証 本章では この攻撃コードによる攻撃が成功する条件を調査するため いくつかの条件の下で攻撃コードを実行した結果を示す 4.1. Dynamic DNS を利用していない場合 ( 正引き ) Dynamic DNS を利用していない場合について 正引きのレコードに対する攻撃が成功することを検証する 1. 攻撃対象の DNS サーバにおいて BIND が起動している事を確認する 2. example.com のゾーンがマスターサーバとして設定されている事を確認する また test.example.com の A レコードがゾーンファイルに設定されていることを確認する 3. 攻撃側の端末から DNS リクエストを送信して DNS サーバがこれに応答する事を確認する 5

4. 攻撃側の端末から攻撃コードの設定を行う ( 対象サーバの IP アドレス ゾーン ) 5. 攻撃側の端末で攻撃コードを実行する 攻撃が成功すると表示が途中で止まるので Ctrl+C でプロンプトに戻る 6. DNS サーバで BIND が動作していない事が確認できる 6

4.2. Dynamic DNS を利用していない場合 ( 逆引き ) Dynamic DNS を利用していない場合について 逆引きのレコードに対する攻撃が成功することを検証する 1. Dynamic DNS を利用していない場合について 逆引きレコードに対する攻撃を検証する 攻撃対象の DNS サーバにおいて BIND が起動している事を確認する 2. 192.0.2.0/24 のゾーンの逆引きがマスターサーバとして設定されている事を確認する また 192.0.2.10 の PTR レコードがゾーンファイルに設定されていることを確認する 3. 攻撃側の端末から DNS リクエストを送信して DNS サーバがこれに応答する事を確認する 7

4. 攻撃側の端末から攻撃コードの設定を行う ( 対象サーバの IP アドレス ゾーン ) 5. 攻撃側の端末で攻撃コードを実行する 攻撃が成功すると表示が途中で止まるので Ctrl+C でプロンプトに戻る 6. DNS サーバで BIND が動作していない事が確認できる 8

4.3. スレーブ設定されたゾーンの場合 ゾーン情報がスレーブサーバとして設定されている場合に攻撃が失敗する事を検証する 1. 攻撃対象の DNS サーバにおいて example.com のゾーン情報がスレーブサーバとして設定されていることと BIND が起動している事を確認する 2. 127.0.0.0/24 のゾーンの逆引きがマスターサーバとして設定されている事を確認する 3. 3.2 と同様の攻撃コードを実行し 攻撃が失敗することを確認する 攻撃対象においても BIND が落ちていないことを確認する 9

5. 本脆弱性の影響を受ける設定 本章では BIND 9.x が一般的な DNS サーバの要件のもとで運用されている場合に 今回の脆弱性がどのように影響するかを検証した結果を示す 5.1. Dynamic DNS 機能の利用者を制限している場合 Dynamic DNS 機能の利用者を制限している場合について検証し 同様にダウンすることを確認した 1. example.com のゾーンがマスターサーバとして設定されている場合について検証する DNS サーバでは Dynamic DNS の利用者を none に制限する事としている 2. DNS サーバで BIND が起動している事を確認する 3. 攻撃者の端末で攻撃コードを実行する 攻撃が成功すると表示が途中で止まるので Ctrl+C でプロンプトに戻る 4. DNS サーバで BIND が動作していない事が確認できる 10

5.2. localhost の正引き 127.0.0.1 の逆引きを外部に公開している場合 ゾーンがスレーブサーバとして設定されている場合は本脆弱性の影響を受けない事はすでに確認したが 一般的に運用されている DNS サーバでは 下の図のように localhost の正引きと 127.0.0.1 の逆引きをマスターサーバとして設定している場合が多い この場合について検証を行い 同様にダウンする事を確認した なお ゾーンを管理していないキャッシュサーバにおいても localhost の正引きと 127.0.0.1 の逆引きをマスターサーバとして設定されている場合 同様に攻撃が可能となる マスター DNS サーバとして運用 DNS #1 example.com Type: master localhost Type: master 0.0.127.in-addr.arpa Type: master スレーブ DNS サーバとして運用 DNS #2 example.com Type: slave localhost Type: master 0.0.127.in-addr.arpa Type: master 攻撃対象 11

1. DNS サーバにおいて 127.0.0.0/24 のゾーンの逆引きがマスターサーバとして設定されている事を確認する 2. DNS サーバで BIND が起動している事を確認する 3. 攻撃側の端末から攻撃コードの設定を行う ( 対象サーバの IP アドレス ゾーン ) 12

4. 攻撃者の端末で攻撃コードを実行する 攻撃が成功すると表示が途中で止まるので Ctrl+C でプロンプトに戻る 5. DNS サーバで BIND が動作していない事が確認できる 13

6. 対策 (view ステートメントを使用した利用者制限 ) 本脆弱性の恒久対策としてはセキュリティパッチの適用を実施する必要があるが パッチの適用を早急に行う事が困難な場合については 別途システムの可用性を確保するための一時対策を行う 本章では view ステートメントを使用してマスターサーバへの DNS リクエストをブロックする方法について説明する view ステートメントにより内部と外部を分離し 外部からはマスターサーバとして設定されているゾーンに対するクエリを制限することで localhost や 127.0.0 のようなローカルのゾーンへの攻撃を制限できる この方法は 公開しているゾーンがスレーブ設定となっているコンテンツ DNS サーバ ( セカンダリなど ) においてのみ有効な対策となる 1. DNS サーバにおいて view ステートメントで制限した場合について検証する マスターサーバとして設定されている 127.0.0.0/24 のゾーンは IP で制限された内部 = internal のユーザのみに公開されており 外部 = external のユーザに公開されているゾーンは全てスレーブ設定となっていることを確認する 14

2. DNS サーバで BIND が起動している事を確認する 3. 攻撃者の端末で攻撃コードを実行する 4. DNS サーバにおいて BIND が停止せず影響がない事を確認する 15

7. まとめ 今回の BIND 9.x の脆弱性を悪用すると簡単に DNS サーバを停止できる事が実証された DNS は IP ネットワークの通信の基盤であり DNS が利用できないと実質的にシステム全体が停止したと言って良い程の影響がある DNS の管理者は今回の脆弱性に対して早急に状況を確認して 対策を行うべきである 恒久対策 今回の脆弱性に対する恒久対策は セキュリティパッチ BIND 9.4.3-P3 / 9.5.1-P3 / 9.6.1- P1 を適用する事である ( ダウンロード先は参考 1 2 を参照 ) 暫定対策 パッチが適用できない場合は システム全体が利用できなくなるという致命的なトラブルになる事を防止するため 今回の脆弱性の影響を受けないスレーブサーバを保護していく必要がある この時に注意しておきたいのは スレーブサーバとして運用している場合であっても 外部からの localhost の正引き 127.0.0.1 の逆引きに対してマスターサーバとして応答する設定となっている場合がある この場合は view ステートメントを利用して利用者を制限する必要がある 16

8. 検証作業者 NTT コミュニケーションズ株式会社 IT マネジメントサービス事業部ネットワークマネジメントサービス部セキュリティオペレーションセンター松本直也本城敏信羽田大樹 9. 参考 1. [ISC] BIND Dynamic Update DoS https://www.isc.org/node/474 2. [ISC] BIND Download https://www.isc.org/downloadables/11 3. [JVNVU#725188] ISC BIND 9 におけるサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/cert/jvnvu725188/ 4. [SecurityFocus] ISC BIND 9 Remote Dynamic Update Message Denial of Service Vulnerability http://www.securityfocus.com/bid/35848 5.[CVE] CVE-2009-0696 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2009-0696 6.[JPCERT/CC] ISC BIND 9 の脆弱性を使用したサービス運用妨害攻撃に関する注意喚起 http://www.jpcert.or.jp/at/2009/at090016.txt 7.[IPA] DNS サーバ BIND の脆弱性について http://www.ipa.go.jp/security/ciadr/vul/20090731-bind.html 10. 履歴 2009 年 07 月 30 日 : ver1.0 公開 2009 年 08 月 04 日 : ver1.1 公開 11. 最新版の公開 URL http://www.ntt.com/icto/security/data/soc.html#security_report 17

12. 本レポートに関する問合せ先 NTT コミュニケーションズ株式会社 IT マネジメントサービス事業部ネットワークマネジメントサービス部セキュリティオペレーションセンター e-mail: scan@ntt.com 以上 18

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック