脆弱性調査レポート

CVE-2015-5477 - 脆弱性調査レポート

BINDのTKEYリソースレコードの処理に起因するリモートからサービス拒否攻撃を実行可能な脆弱性(CVE-2015-5477)に関する調査レポート

概要

Internet Systems Consortium(以下、ISC)の BIND に、リモートよりサービス拒否攻撃が可能な脆弱性(CVE-2015-5477)の攻撃コードが発見されました。この脆弱性は、TKEY リソースレコード(RR)の処理に欠陥があり、TKEY RR に対して細工された問い合わせを行うことによりサービス拒否状態を引き起こすことが可能です。この脆弱性を利用した攻撃が成立した場合、リモートから BIND を停止させることが可能です。

本レポート作成(2015年8月5日)時点において、既に ISC より脆弱性が修正されたバージョンがリリースされております(2015年7月28日)。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性(CVE-2015-5477)の再現性について検証を行いました。

影響を受ける可能性があるシステム

  • BIND 9.1.0 から 9.8.x までの全てのバージョン
  • BIND 9.9.0 から 9.9.7-P1 までの全てのバージョン
  • BIND 9.10.0 から 9.10.2-P2 までの全てのバージョン

対策案

本レポート作成(2015年8月5日)時点において、ISC より、この脆弱性を修正するバージョンがリリースされています。当該脆弱性が修正されたバージョンへとアップグレードしていただくことを推奨いたします。
なお、BIND 9.8.x よりも前のバージョンはサポートが終了しています。該当するバージョンを利用されている場合、本脆弱性を修正するためには、バージョン 9.9.7-P2、または、9.10.2-P3 へとアップグレードしていただく必要があります。

参考サイト

CVE-2015-5477
DNS サーバ BIND の脆弱性対策について(CVE-2015-5477)
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-5477) に関する注意喚起

検証概要

ターゲットシステムに対して、攻撃者が細工したクエリを送信することにより、ターゲットシステム上で動作している BIND を停止させます。

検証ターゲットシステム

  • Debian 8 + BIND 9.9.7-P1

検証イメージ

検証イメージ

検証結果

下図の、上段のターミナル画面は攻撃側の画面です。一方で、下段のターミナル画面はターゲットシステム(Linux)の画面です。黄線で囲まれた部分は、攻撃者により細工されたクエリを送信される前の、動作している BIND の情報です。BIND がオープンするポート番号(TCP/53, UDP/53)が開放されていることが確認できます。
一方で、赤線で囲まれている部分は、攻撃者により細工されたクエリを送信された後の BIND の情報です。BIND がオープンするポート番号(TCP/53, UDP/53)が一覧から消えたことが確認できます。これにより、ターゲットシステムの BIND が停止したと判断できます。

検証結果

この脆弱性による攻撃を受けた場合、BIND のログに以下ようなの情報が記述されます。

  • ※以下はソース版の BIND を Debian へインストールした場合の例です。ログのパスは /var/named/chroot/var/log を設定しています。Linux のパッケージを利用されている場合や、OS または BIND の構成環境によって出力されるログのパスや内容は異なります。
/var/named/chroot/var/log/named.log の内容
log内容
『messeage: REQUIRE faild (assertion failure)』が記述されます。

更新履歴

2015年8月5日 : 初版公開


本件に関するお問い合わせ先

『報道関係者様からのお問い合わせ』

ソフトバンク・テクノロジー株式会社
管理本部 経営企画部 皆口
TEL:03-6892-3063
メールアドレス:sbt-pr@tech.softbank.co.jp
『お客様からのお問い合わせ』

下記問い合わせフォームよりお問い合わせください。

【総合】お問い合わせ

ソリューションに関する全般的なお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録