Internet Systems Consortium(以下、ISC)の BIND に、リモートよりサービス拒否攻撃が可能な脆弱性(CVE-2015-5477)の攻撃コードが発見されました。この脆弱性は、TKEY リソースレコード(RR)の処理に欠陥があり、TKEY RR に対して細工された問い合わせを行うことによりサービス拒否状態を引き起こすことが可能です。この脆弱性を利用した攻撃が成立した場合、リモートから BIND を停止させることが可能です。
本レポート作成(2015年8月5日)時点において、既に ISC より脆弱性が修正されたバージョンがリリースされております(2015年7月28日)。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性(CVE-2015-5477)の再現性について検証を行いました。
本レポート作成(2015年8月5日)時点において、ISC より、この脆弱性を修正するバージョンがリリースされています。当該脆弱性が修正されたバージョンへとアップグレードしていただくことを推奨いたします。
なお、BIND 9.8.x よりも前のバージョンはサポートが終了しています。該当するバージョンを利用されている場合、本脆弱性を修正するためには、バージョン 9.9.7-P2、または、9.10.2-P3 へとアップグレードしていただく必要があります。
CVE-2015-5477
DNS サーバ BIND の脆弱性対策について(CVE-2015-5477)
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-5477) に関する注意喚起
ターゲットシステムに対して、攻撃者が細工したクエリを送信することにより、ターゲットシステム上で動作している BIND を停止させます。
下図の、上段のターミナル画面は攻撃側の画面です。一方で、下段のターミナル画面はターゲットシステム(Linux)の画面です。黄線で囲まれた部分は、攻撃者により細工されたクエリを送信される前の、動作している BIND の情報です。BIND がオープンするポート番号(TCP/53, UDP/53)が開放されていることが確認できます。
一方で、赤線で囲まれている部分は、攻撃者により細工されたクエリを送信された後の BIND の情報です。BIND がオープンするポート番号(TCP/53, UDP/53)が一覧から消えたことが確認できます。これにより、ターゲットシステムの BIND が停止したと判断できます。
この脆弱性による攻撃を受けた場合、BIND のログに以下ようなの情報が記述されます。
2015年8月5日 : 初版公開
本件に関するお問い合わせ先
| 『報道関係者様からのお問い合わせ』 ソフトバンク・テクノロジー株式会社 管理本部 経営企画部 皆口 TEL:03-6892-3063 メールアドレス:sbt-pr@tech.softbank.co.jp |
『お客様からのお問い合わせ』 下記問い合わせフォームよりお問い合わせください。 |
