NAME:WRECK という名の DNS 脆弱性は1億台のデバイスに影響をおよぼす

NAME:WRECK DNS vulnerabilities affect over 100 million devices

2021/04/13 BleepingComputer — セキュリティ研究者たちが、少なくとも1億台以上の機器に搭載されている一般的な TCP/IP ネットワーク通信スタックの、Domain Name System プロトコルの実装に影響を与える、9つの脆弱性を公開した。これらを総称して、NAME:WRECK と呼ぶ。

この、一連の脆弱性を悪用することで、対象となる機器を停止・制御することなどが可能となる。これらの脆弱性は、高性能なサーバーやネットワーク機器から、産業機器を監視・制御するための OT (Operation Technology) システムいたる、幅広い製品に搭載されている広範な TCP/IP スタックで発見されている。NAME:WRECK の発見は、Enterprise of Things のセキュリティ企業である Forescout と、イスラエルのセキュリティ研究グループ JSOF の共同研究によるものであり、多様な TCP/IP スタックにおける DNS 実装に影響を与えている。

この記事は、TCP/IP スタックにおけるDNSの実装を解析した研究者たちが、プロトコル・メッセージの圧縮機能に注目していると指摘しています。DNS のレスポンス・パケットには、同じドメイン名などが繰返して含まれており、DNSメッセージのサイズを小さくするための、圧縮メカニズムが存在しています。このエンコーディングは、DNSリゾルバだけでなく、マルチキャストDNS(mDNS)、DHCPクライアント、IPv6ルータ告知にも存在しています。Forescout のレポートによると、この機能は多くの実装にも存在しますが、公式に圧縮をサポートしていないプロトコルもあると説明しています。研究者たちは、2000年以降に発見された十数件の脆弱性に象徴されるように、圧縮機構の実装は高いハードルであったと指摘しています。

%d bloggers like this: