ISC BIND 9 に深刻な脆弱性 CVE-2021-25218 が発見された

Internet Systems Consortium (ISC) fixes High-Severity DoS flaw in BIND DNS Software

2021/08/20 SecurityAffairs — Internet Systems Consortium (ISC) は、同社の DNS ソフトウェア BIND に、深刻なサービス拒否 (DoS) の脆弱性 CVE-2021-25218 が存在するとして、セキュリティ・アップデートを公開した。この脆弱性は、BIND 9 のリリース 9.16.19 / 9.17.16、および BIND Supported Preview Edition のリリース 9.16.19-S1 にのみ影響する。ISC は、この脆弱性に対する回避策も提供している。この脆弱性を、攻撃者が特定の状況下で悪用すると、BIND ネームサーバー (named) プロセスがクラッシュし、 DoS 状態が引き起こされる。

UDP 上で “named ” が、その時点で有効なインターフェイス最大転送単位 (MTU: Maximum Transmission Unit) よりも、大きな転送量での応答を試み、応答速度制限 (RRL: Response Rate Limiting) が有効な場合に、アサーション障害が発生する。結果として、named サーバー・プロセスが終了する。

named がインターフェース MTU を超えるときには、2つのケースがある。

・named.conf でのダイレクトなコンフィグレーションで、max-udp-size をインターフェイス MTU よりも、大きい値に設定した場合。
・Path MTU discovery (PMTUD) から IP スタックに対して、インターフェイスとディスティネーションのデフォルト max-udp-size 値である 1232 よりも、小さい MTU を使用すべきだと通知される場合。(一部の OS では、他のプロトコルを介して受信したパケットが、UDP 経由の DNS の PMTUD 値に影響を与えることがある)

ICS の指摘によると、設定ミスや意図的な悪用により、この問題が引き起こされる可能性があり、また、通常の動作状態においても、引き起こされる可能性があるとされる。

米国の Cybersecurity and Infrastructure Security Agency (CISA) は、この脆弱性を警告するために、セキュリティ・アドバイザリを公開している。その内容は、「ISC は、Berkeley Internet Name Domain (BIND) の複数のバージョンに影響する、脆弱性に対処するためのセキュリティ勧告を公開した。リモートの攻撃者が、この脆弱性を悪用して、サービス拒否状態を引き起こす可能性がある。したがって、ユーザーと管理者は、この ISC 勧告の脆弱性 CVE-2021-25218 を確認し、必要な更新または回避策を適用することを推奨する」となっている。この記事を執筆している時点では、ICS は上記の欠陥がワイルドに悪用されている状況を認識していない。

ISC BIND 9 の脆弱性は、さまざまな企業に影響をおよぼすため、Cybersecurity and Infrastructure Security Agency (CISA) がアドバイザリを出すなど、いつも議論が高まります。CVE-2021-25218 を NVD で参照すると、ISC サイトからのデータとして、CVSS スコアは 7.5 だと記されています。いまのところ、PoC エクスプロイトも提供されていないようです。

%d bloggers like this: