DNSの危機に対応を!

〜キャッシュ毒入れ新手法 Kaminsky Poisoning 〜

2008年7月、セキュリティ技術者 Dan Kaminsky 氏が考案したDNSに対する新たな攻撃手法が明らかになり、8月6日、Kaminsky氏による発表がセキュリティ関連の国際会議 Black Hatで行われました。

これはDNSキャッシュサーバに偽の情報を注入（毒入れ/Poisoning）するものです。DNSは原理的にキャッシュへの毒入れ脆弱性を持ち合わせており、特に脆弱な実装のDNSサーバソフトウェアでは過去に何度か対応が図られてきました。今回あきらかになった手法は従来手法よりはるかに効率的に、状況によってはほぼ確実に毒入れができるというもので、大変危険なものです。

すでに攻撃コードも公開されており、被害も発生していることが報告されています。

まず、以下のサイトで "Check My DNS" してみましょう。(紹介記事)
Web-based DNS Randomness Test
(ブラウザが証明書の警告を出したらページを開かないこと)

POORと出たらかなり危険です。
(GREATと出ても一面的な評価にすぎないので安心してはいけません)
DNSキャッシュサーバの管理者（家庭だとプロバイダ ?）に対応を求めましょう。
あなた自身が管理者なら以下の情報を良く理解して、正しい対応を行いましょう。

緊急DNS勉強会

東海インターネット協議会では、緊急かつ正しい対応が進むよう、8/9のオープンソースカンファレンス2008において緊急DNS勉強会を開き、この件についての解説を行いました。（スライド...2008/8/23 訂正）

セキュリティ勧告

• JVN: 複数の DNS 実装にキャッシュポイズニングの脆弱性(JVNVU#800113)
• JPRS: 複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について (7/9)
• JPRS: (緊急)複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について(続報) (07/24)
• JPNIC: 複数のDNS実装におけるキャッシュポイズニングの脆弱性について (7/9)
• JPCERT/CC: 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性 (7/9)
• JPCERT/CC: [続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起 (7/24)
• IPA: 複数の DNS 製品の脆弱性について
• MICROSOFT: 「DNS のなりすましの脆弱性」の脅威の増大 (7/24)
• US-CERT: Multiple DNS implementations vulnerable to cache poisoning (VU#800113) (7/8)
• CVE: CVE-2008-1447

Dan Kaminsky氏自身のサイト (なぜか閉鎖された模様)

• DoxPara Research
  • Details
  • Why So Serius
  • It's The End Of The Cache As We Know It...説明不正確(不十分?) 注意

解説サイト

• QMAIL.JP: 警告： DNS キャシュ毒入れ攻撃, DNS/キャッシュサーバへの毒盛り, DNS/攻撃手法の説明(new)
• NTTv6: DNS Cache Poisoningの概要と対処 (PDF)
• SEC-CONSULT: Fast DNS Cache Poisoning (PDF,Demo video)
• USENIX: DNS Poisoning: Developments, Attacks and Research Directions (PDF)
• UNIXWIZ: An Illustrated Guide to the Kaminsky DNS Vulnerability...説明不正確 注意
• SNORT: VRT Report on Dan Kaminsky's 2008 DNS Vulnerability
• JPRS: DNSキャッシュポイズニング攻撃と、脆弱性への対応についての解説
• ICANN: Frequently Asked Questions on Cache Poisoning and Cross Pollination

ISP,主要サイト対応状況

• 準備中 (対応の基準がはっきりしないため当面見送り)

関連記事

• Yomiuri: DNS脆弱性の修正パッチ、複数ベンダーから同時リリース (7/9)
• ITmedia: BIND9のパッチ公開、DNSキャッシュポイズニング攻撃に対処 (7/9)
• WIRED: Kaminsky on How He Discovered DNS Flaw and More (7/22)
• ITmedia: DNS脆弱性の詳報が手違いで流出 (7/23)
• ITmedia: DNS脆弱性を突く悪用コードが公開 (7/25)
• ITmedia: DNSキャッシュポイズニング、各ネームサーバの対応が話題に (7/26)
• MYCOM: DNSシステム脆弱性問題、発見者がついに詳細情報を公開へ (7/26)
• INTERNET.COM: DNS の重大な脆弱性を突く攻撃が発生、早急にパッチを適用すべき (7/28)
• IMPRESS: DNSの脆弱性の脅威が増大、MSが「MS08-037」適用呼びかけ (7/28) ...注意: ns1.impress.co.jp is POOR (8/28 16:27)
• CNET: カミンスキー氏、DNSの脆弱性詳細をついに公表 (7/28)
• Mainichi: アップル、深刻なDNS脆弱性の修正パッチをリリース (8/1)
• ITPRO: カミンスキー氏，DNS脆弱性について詳細を公開--Black Hatカンファレンスで (8/8)
• ITmedia: Web安全神話を揺るがすDNSの脆弱性、影響は想像以上 (8/8)
• ITPRO: 詳細が明かされたDNSキャッシュ・ポイズニングの新手法 (8/11)
• ITPRO: DNSサーバーに存在するぜい弱性の詳細情報が流出 (8/18)...図3,図5はKaminsky手法の正しい説明ではないと思われるので注意(元記事は7/23)
• 日経新聞 : 8/22朝刊 9面 「DNSサーバー」重大欠陥
• NHK : ネットの管理システムに欠陥 (8/27)

被害例

• 悪用コード公開の影響：DNSの脆弱性問題でISPに被害 (7/31)
• DNS Attack Writer a Victim of His Own Creation(同上）

ツール

• dig +short porttest.dns-oarc.net TXT @検査サーバのIPアドレス
• nslookup -type=txt -timeout=30 porttest.dns-oarc.net 検査サーバ　(同上)
• ネームサーバ診断 (アクセス制限のないDNSキャッシュ = Open Resolver は毒入れだけでなくDDoSの踏み台にもなります)
• キャッシュ検査ツール: CacheAudit
• IANA: Cross-Pollination Check
• 侵入検知用Signature

情報提供

• Debian: DNS キャッシュ汚染問題への対応について ( Kaminsky flaw なのかは ? )
• Ruby: resolv.rbのDNSスプーフィング脆弱性 (Kaminsky flaw なのかは ? )
• Zbr's days: Successfully poisoned the latest BIND with fully randomized ports!

関連RFC

• RFC1034: DOMAIN NAMES - CONCEPTS AND FACILITIES, 1987
• RFC1035: DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION, 1987
• RFC1912: Common DNS Operational and Configuration Errors, 1996
• RFC2181: Clarifications to the DNS Specification, 1997
• DRAFT: DNS Glue RR Survey and Terminology Clarification, 2007
• DRAFT: Measures for making DNS more resilient against forged answers, 2008

その他のリンク

• CERT.AT: パッチ摘要状況調査報告 (7/21データ)
• CERT.AT: パッチ摘要状況調査報告 (7/27データ)
• CERT.AT: パッチ摘要状況調査報告 (8/18)

脅威についての説明 (8/28追記)

Kaminskyのスライドには十分説明されていない部分があるため、想定されるバリエーションを交え、図と説明は抽象化してあります。

これまでの毒入れ手法	Kaminsky流の毒入れ手法
これまで知られている毒入れ手法は、1ターン（本物の応答が返るまでのわずか数10 - 数100ms）の攻撃に失敗すると、本物の権威サーバからの応答がキャッシュに入ってしまい、キャッシュの生存期間(TTL)の間は攻撃は無効となる。TTLが長ければ長いほど攻撃は困難となる。(逆に言うとTTLが短いレコードは危険)	Kaminsky流の手法では、存在しない名前を次々に ( 1.foo.com, 2.foo.com, 3.foo.com, ... 等と) 取り替えながら問合せに用いるため、本物の権威サーバからの応答によるキャッシュが、後に続く攻撃の障害とならない。 　このため連続的に長時間に渡って攻撃が可能なため、毒が入る確率が非常に高くなる。Kaminskyによれば10秒程度での毒入れが可能。 　さらに、port randomize の patch済みでも、10時間程度で毒入れできたとの報告もあり、パッチだけで安心してはいけない。(thanks Mr. Tomoyuki Sakurai) 付記: Kaminskyのスライドにはファイアウォール内部のキャッシュサーバへの攻撃方法も紹介されており、アクセス制限だけで安心してもいけない。

---

文責 T.Suzuki @ TIC