各位
DNS キャッシュポイズニング攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140016.html
I. 概要
問い合わせ UDP ポートのランダム化(以下、ソースポートランダマイゼーション)が有効でないキャッシュ DNS サーバには、キャッシュポイズニング攻撃が容易になる既知の脆弱性があります。この脆弱性が使用された場合、遠隔の第三者によってキャッシュ DNS サーバが偽の DNS 情報で汚染される可能性があります。
株式会社日本レジストリサービス(以下、JPRS)によると、JPRS が管理している DNS サーバに対してソースポートランダマイゼーションが有効ではないDNS クエリがあることを確認しており、また本脆弱性を狙うアクセスが増加していると ISP 事業者から報告を受けているとのことです。
今後、本脆弱性を狙う攻撃が増加する可能性がありますので、パッチの適用や設定の変更などの対策を取られることをお勧めします。
II. 対象
この脆弱性は複数の DNS サーバソフトウェアや製品に影響を及ぼします。詳細につきましては、以下の Web サイトより各ベンダが発表しているアドバイザリをご確認下さい。
JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
https://jvn.jp/cert/JVNVU800113/index.html
Vulnerability Note VU#800113
Multiple DNS implementations vulnerable to cache poisoning
https://www.kb.cert.org/vuls/id/800113
なお上記の Web サイトに記載されていないソフトウエアや製品も影響を受ける可能性がありますので、お使いのソフトウエアや製品について、各ベンダにお問い合わせ下さい。
III. 対策
該当する DNS サーバソフトウェアや製品を運用している管理者の方々は、各ベンダからリリースされているパッチの適用や設定の変更などの対策を取られることをお勧めします。
なお対策される際には以下の3点にご注意下さい。
(1) named.conf の設定
BIND 9 を使用している場合、named.conf に以下のような DNS クエリの
ソースポートを固定する設定が行われている可能性があります。
query-source port 53;
query-source-v6 port 53;
このような場合、バージョンアップ後に設定の変更を行わないとソース
ポートランダマイゼーションが有効にならない可能性があります。
(2) ネットワーク機器におけるポートの再変換
ファイアウォールやルータなどのネットワーク機器のネットワークアドレ
ス変換(NAT)機能により、DNS サーバで行われるソースポートランダマイ
ゼーションが無効になる可能性があります。ネットワーク機器の設定変更
やファームウエアの更新などについて、各ベンダからの情報をご確認下さ
い。
(3) ファイアウォールの設定確認
対策後には DNS サーバからのクエリのソースポートがランダムになりま
す。このため、ファイアウォールの設定などによっては、設定変更後の
DNS サーバからの通信が制限される可能性があります。DNS サーバの設定
変更の際には、事前にファイアウォールなどの設定を確認することを推奨
します。
IV. 参考情報
■(緊急)キャッシュポイズニング攻撃の危険性増加に伴う
DNSサーバーの設定再確認について(2014年4月15日公開)
〜問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨〜
http://jprs.jp/tech/security/2014-04-15-portrandomization.html
JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
https://jvn.jp/cert/JVNVU800113/index.html
Vulnerability Note VU#800113
Multiple DNS implementations vulnerable to cache poisoning
https://www.kb.cert.org/vuls/id/800113
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2014-0016
JPCERT/CC
2014-04-15
JPCERT/CC Alert 2014-04-15
DNS キャッシュポイズニング攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140016.html
I. 概要
問い合わせ UDP ポートのランダム化(以下、ソースポートランダマイゼーション)が有効でないキャッシュ DNS サーバには、キャッシュポイズニング攻撃が容易になる既知の脆弱性があります。この脆弱性が使用された場合、遠隔の第三者によってキャッシュ DNS サーバが偽の DNS 情報で汚染される可能性があります。
株式会社日本レジストリサービス(以下、JPRS)によると、JPRS が管理している DNS サーバに対してソースポートランダマイゼーションが有効ではないDNS クエリがあることを確認しており、また本脆弱性を狙うアクセスが増加していると ISP 事業者から報告を受けているとのことです。
今後、本脆弱性を狙う攻撃が増加する可能性がありますので、パッチの適用や設定の変更などの対策を取られることをお勧めします。
II. 対象
この脆弱性は複数の DNS サーバソフトウェアや製品に影響を及ぼします。詳細につきましては、以下の Web サイトより各ベンダが発表しているアドバイザリをご確認下さい。
JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
https://jvn.jp/cert/JVNVU800113/index.html
Vulnerability Note VU#800113
Multiple DNS implementations vulnerable to cache poisoning
https://www.kb.cert.org/vuls/id/800113
なお上記の Web サイトに記載されていないソフトウエアや製品も影響を受ける可能性がありますので、お使いのソフトウエアや製品について、各ベンダにお問い合わせ下さい。
III. 対策
該当する DNS サーバソフトウェアや製品を運用している管理者の方々は、各ベンダからリリースされているパッチの適用や設定の変更などの対策を取られることをお勧めします。
なお対策される際には以下の3点にご注意下さい。
(1) named.conf の設定
BIND 9 を使用している場合、named.conf に以下のような DNS クエリの
ソースポートを固定する設定が行われている可能性があります。
query-source port 53;
query-source-v6 port 53;
このような場合、バージョンアップ後に設定の変更を行わないとソース
ポートランダマイゼーションが有効にならない可能性があります。
(2) ネットワーク機器におけるポートの再変換
ファイアウォールやルータなどのネットワーク機器のネットワークアドレ
ス変換(NAT)機能により、DNS サーバで行われるソースポートランダマイ
ゼーションが無効になる可能性があります。ネットワーク機器の設定変更
やファームウエアの更新などについて、各ベンダからの情報をご確認下さ
い。
(3) ファイアウォールの設定確認
対策後には DNS サーバからのクエリのソースポートがランダムになりま
す。このため、ファイアウォールの設定などによっては、設定変更後の
DNS サーバからの通信が制限される可能性があります。DNS サーバの設定
変更の際には、事前にファイアウォールなどの設定を確認することを推奨
します。
IV. 参考情報
■(緊急)キャッシュポイズニング攻撃の危険性増加に伴う
DNSサーバーの設定再確認について(2014年4月15日公開)
〜問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨〜
http://jprs.jp/tech/security/2014-04-15-portrandomization.html
JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
https://jvn.jp/cert/JVNVU800113/index.html
Vulnerability Note VU#800113
Multiple DNS implementations vulnerable to cache poisoning
https://www.kb.cert.org/vuls/id/800113
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
