MoinQ:

1. DNS/移転インジェクション

DNS/毒盛/移転インジェクション 2024年現在も対策されていない。

DNS/毒盛/AncillaryDataAttacks の一種です。 (ですから排除は簡単です)

DNS/リゾルバー/RFC2181ランキング再考

Kaminsky流の攻撃が成立する例として民田が示したのは

Answer SectionなしのNoError返答(delegationではないことがAA onで示される)も攻撃手法としてあり得る。

キャッシュにある(NS)レコードを上書きするような実装の不良だというのが、前野の主張であるが、

/com-net問題が理由かもしれないと思った。-- ToshinoriMaeno 2018-03-01 01:36:07

DNS/毒盛/NS毒盛/authanswerの書き換え : BIND 9.12.1 にも存在する脆弱性


../2014/移転案内攻撃 DNS/毒盛/2014/NS毒/鈴木の例

d.t.e-ontap.com NS などを問い合わせることで、毒が入るかどうかが分かるサイト。

1.1. 分類

キャッシュにあるNSレコードがRFC 2181に書かれたどの状態にあるかによって、 いくつかに分類される。

1.1.1. 1

最初に使われたのはここだ。 2014-04-15 http://www.e-ontap.com/dns/endofdns2.html には以下のように説明があり、委譲情報を上書きするものだけを指していた。

委譲元から得た最低ランクの NS キャッシュを、
偽権威の Answer に付随する Authority Section の NS で上書きして毒入れすることができ、
そのゾーンを自由にできる。

JPRSもこの流儀のようだ。(別の名前で呼んでいるが) http://jprs.jp/tech/material/iw2014-lunch-L3-01.pdf

1.1.2. 2

その後、Answer に付随する Authority Section の NSがキャッシュされている場合にも 上書きされることがある(実装の不良)ため、 この場合も含めて鈴木は「移転インジェクション」と呼ぶようにしたとのこと。

JPRSはこちらのケースには言及しない。いや、説明を避けている。RFC2181の責任だとしたいらしい。

-- ToshinoriMaeno 2015-11-02 03:31:40

この指摘は前野が行ったものです。

1.1.3. 3

そして、今年になって、権威サーバーにquery type NSで問い合わせて返ってきたAnswerにあるNSを Authority SectionのNSで上書きするリゾルバーが確認された。(BIND) (前野、鈴木) -- ToshinoriMaeno 2018-05-24 12:33:25

これにより、移転インジェクションは3種類に分けられる。

1.2. 結論

(1)「 移転インジェクション」は「いわゆる../委任インジェクション」とは区別して扱われるべき脆弱性である。

(2)「移転インジェクション」は実装の不良、あるいは実装の選択結果であって、RFC 2181 の不良とするのは間違いである。

(3) RFC2181の問題だと認識している識者もいるようだが、tssさんの指摘により、前野は上のように考える。  

Knot DNS resolverのようにこの脆弱性をもたない実装も存在する。

1.3. 別件

現状のUnboundでも../委任インジェクションは防御できていない。

TCPを使うのが簡単な回避策である。

「移転インジェクション」の闇は深い。

-- ToshinoriMaeno 2014-12-12 07:10:09

MoinQ: DNS/移転インジェクション (last edited 2024-09-15 00:36:28 by ToshinoriMaeno)