BIND Updates Patch High-Severity, Remotely Exploitable DoS Flaws
2023/01/27 SecurityWeek — 今週に ISC (Internet Systems Consortium) は、DNS ソフトウェア・スイート BIND に存在する、複数の深刻な DoS (Denial-of-Service) 脆弱性に対するパッチをリリースした。この脆弱性が悪用されると、ネームサーバー/再帰的リゾルバーとして機能する BIND デーモン named が、リモートからの攻撃でクラッシュあるいは、メモリ枯渇に陥る可能性があるという。
1つ目の脆弱性 CVE-2022-3094 は、動的な DNS アップデートを大量に送信することで悪用され、named に大量のメモリが割り当てられ、その結果としてメモリ不足に起因するクラッシュを引き起こす可能性がある。
ISC によると、割り当てられたメモリは、アクセス認証が認められたクライアントに対してのみ保持されるため、動的なゾーン変更を許可されている、信頼されたクライアントだけに、脆弱性の範囲は限定されるようだ。
BIND 9.11 以前のブランチでは、この欠陥を悪用して内部リソースを使い果たすことが可能であり、その結果として、パフォーマンス劣化が発生するが、クラッシュには至らないという。
2つ目の脆弱性 CVE-2022-3736 について ISC は、「stale cache/stale answers が有効であり、stale-answer-client-timeout オプションが正の整数に設定され、リゾルバーが RRSIG クエリーを受信した場合にクラッシュにつながる」と説明している。リモートの攻撃者は、細工したクエリーをリゾルバーに送信することで、このバグを誘発できる。
3つ目の脆弱性 CVE-2022-3924 は、リゾルバーが再帰を必要とするクエリーを多く受信した場合に、stale-answer-client-timeout オプションの実装に影響を与える。再帰処理が完了するのを待機している大量のクライアントのが存在するときに、 最も長く待っているクライアントに無効な回答を提供し、 早期にタイムアウトした SERVFAIL を送ることで競合が発生し、 named がクラッシュする可能性がある。
3つの脆弱性は、BIND 9.16.37/9.18.11/9.19.9 のリリースで解決されている。ISC は、これらの脆弱性が悪用されていることを認識していない。ただし、すべてのユーザーに対して、可能な限り早急に BIND の最新版に更新することを推奨している。
さらに ISC は、サポートされる全ての BIND プレビュー版 (対象となる顧客に提供される特別な機能のプレビュー・ブランチ) に影響を与える脆弱性である、CVE-2022-3488 についても警告している。
この問題は、同じネームサーバーから2つの応答を連続して送信することで発生する。どちらも ECS 疑似オプションだが、最初の応答が壊れているため、リゾルバーはクエリー応答を拒否することになり、2番目の応答を処理するときに named がクラッシュする。
BIND Preview Edition バージョン 9.16.37-S1 では、上記の4つのセキュリティ上の不具合が全て解消されている。なお、対応した脆弱性についての追加情報は、BIND 9 のセキュリティ脆弱性マトリックスに記載されている。
BIND の脆弱性が修正されたとのことです。ご利用の方は、アップデートをお急ぎください。NDS に関する記事で、2022/12/08 に「DNS 攻撃によるエアギャップ破壊:重要なのは 正確な設定/特性の理解/アクティビティの監視」という、とても興味深いものがありましたので、よろしければ、ご参照ください。なお、BIND に関する、これまでの記事は、以下のとおりです。
2022/09/24:BIND の深刻な脆弱性 CVE-2022-2906:CISA も警告
2022/03/18:BIND Ver 9.18 の深刻な脆弱性 CVE-2022-0635
2021/08/20:ISC BIND 9 に深刻な脆弱性 CVE-2021-25218
IoT OT Security News 
You must be logged in to post a comment.