キャッシュポイズニングの開いたパンドラの箱 -2-
Opened Pandora's box of Cache Poisoning -2-

移転インジェクション攻撃: RFC2181 5.4.1 "Ranking data" の欠陥

今回、委任インジェクション攻撃に加え、さらに RFC2181 の欠陥を突いた攻撃が可能であることを確認した。

委譲元から得た最低ランクの NS キャッシュを、偽権威の Answer に付随する Authority Section の NS で上書きして毒入れすることができ、そのゾーンを自由にできる。

これにより、現状では別途示した 1, 2, 3 の条件に関係なく容易に毒入れすることが可能である。
攻撃者は以下のようにターゲットのゾーンの NS を偽権威に向けることができる。

• キャッシュサーバはターゲットのゾーンの名前の問い合わせを受ける (オープンリゾルバは危険だがマルウェアや受動的攻撃により制限された内部からでも攻撃されうる)
• 偽応答は権威ある Answer を示すAAフラグ付きである (本物の権威サーバを振る舞う)
• Authority Section には親からの委譲とは異なる偽権威サーバを指す NS レコード(毒)が入っており、キャッシュサーバはこれを受け入れる (権威があるサーバからの応答が他の NS を指すのは奇妙であるが、NS 移転の際にこのような設定を用いることがある)

RFC2181 5.4.1 "Ranking data" ではキャッシュの優先度が以下のように決められている。

+ Data from a primary zone file, other than glue data,
+ Data from a zone transfer, other than glue,
+ The authoritative data included in the answer section of an
authoritative reply.
+ Data from the authority section of an authoritative answer,
+ Glue from a primary zone, or glue from a zone transfer,
+ Data from the answer section of a non-authoritative answer, and
non-authoritative data from the answer section of authoritative answers,
+ Additional information from an authoritative answer,
Data from the authority section of a non-authoritative answer,
Additional information from non-authoritative answers.

RFC2181 5.4.1 に従い、"data from the authority section of an authoritative answer" は "the authority section of a non-authoritative answer" より高い信頼度を持つ。

.jp など多くの TLD はそのゾーン内の名前が検索されることは少なく、ルートから得た優先度の低い NS キャッシュしか持っておらず、このような手法で容易に上書きされてしまう。

こうした応答をキャッシュが受け入れないようにする改良は考えられるが、親子が異なる状態で運用されているドメインは好ましくないものの少なくないし、NS 移転の際の運用方法に大きく影響するため、導入への抵抗は大きいものと考えられる。