New TsuNAME Flaw Could Let Attackers Take Down Authoritative DNS Servers
2021/05/07 TheHackerNews — この新顔でクリティカルな脆弱性を悪用すると、Domain Name System (DNS) リゾルバに対して reflection-based DoS 攻撃を行うことが可能となる。この TsuNAME と呼ばれる新たな脆弱性は、オランダとニュージーランドの国別ドメイン .nl と .nz を管理している、SIDN Labs と InternetNZ の研究者たちにより発見されている。
「ドメイン名に周期的な依存関係にある DNS レコードが、誤って設定されている場合に、TsuNAME は発生する。こうした誤った設定へのアクセスが生じると、脆弱なリゾルバはループを開始し、大量の DNS クエリを短時間に送信してしまう」と、研究者たちは述べている。再帰的 DNS リゾルバは、DNS を解決するためのコア・コンポーネントであり、www.google.com のようなホスト名を、142.250.71.36 にような IP アドレスへと変換する。
つまり、クライアントが Web ページを要求すると、要求された DNS レコードに対応する権威 DNS サーバーに到達するまで、DNS リゾルバは一連のリクエストを発行する。しかし、ドメイン登録時の設定ミスにより、2つのゾーンのネームサーバー・レコードが相互に指し示す循環的な依存関係が生じると、脆弱なリゾルバがゾーンからゾーンへと跳ね返り、両方の親ゾーンの権威 DNS サーバーに non-stop クエリを送信し、DoS 攻撃を成立させることになる。それが TsuNAME である。
こういう問題が生じると、多くの人が心配するのは、BIND への影響と、その対応です。という訳で、検索してみたところ TsuNAME DNS Vulnerability and BIND 9 というコンテンツが見つかりました。要約すると、「先週に研究者たちが発表した TsuNAME の脆弱性は、Google Public DNS や Cisco OpenDNS などの、インターネット上の大規模のホスト型 DNS サービスなどに影響を与えました。ISC は、この脆弱性が公表される以前に通知を受け、この問題を BIND 上で発生させないための防御策を講じています。すでに BIND には、ループ化を防ぐための再帰制限が存在しています」とのことです。以下は、アドバイザリーの概要です。
IoT OT Security News 