Attackers Exploit BIND DNS Server Vulnerability to Crash Servers Using Malicious Packets
2025/05/22 gbhackers — BIND DNS サーバ・ソフトウェアの脆弱性を悪用する攻撃者は、細工した悪意のパケットを送信することで、DNS サーバをクラッシュさせることが可能だ。特定の機能が有効化されている状態で特定のクエリが処理されると、この脆弱性 CVE-2023-5517 により、named (BIND DNS サーバ・プロセス) にアサーション・エラーが生じ、想定外の終了にいたる可能性がある。
BIND 9.18.24 のリリース・ノートで公開された、この脆弱性を悪用する攻撃者は、nxdomain-redirect 機能が有効化されている状況で、アサーションエラーをトリガーするように細工されたクエリを介して、BINDソフトウェアを実行している DNS サーバを標的化できる。
このセキュリティ上の欠陥への攻撃が成功すると、DNS 解決サービスが中断され、膨大な数のユーザーとシステムに影響が生じ、DNS インフラにとって重大なリスクとなる。
Internet Systems Consortium (ISC) のセキュリティ・アドバイザリには、「nxdomain-redirect が有効化されている場合に、特定のクエリにより。named がアサーション・エラーでクラッシュする可能性がある」と記されている。
未認証のリモート攻撃者がトリガーする比較的単純な攻撃で、この脆弱性の悪用が可能となり、その結果として、重要な DNS インフラがダウンする可能性がある。
DNS とは、インターネットの電話帳のような役割を果たし、人間が判読できるドメイン名を IP アドレスに変換するものだ。このサービスに何らかの障害が発生すると、Web サイトの可用性やメール配信などの、広範かつ重要なインターネット・サービスに影響が生じる可能性がある。
複数のセキュリティ上の欠陥
nxdomain-redirect だけに、脆弱性が発生したわけではない。最近の ISC リリースでは、その他にも、いくつかの重大な DNS 脆弱性が対処されている。
2つ目の深刻な脆弱性 CVE-2023-5679 は、DNS64 と serve-stale 機能間の不適切な相互作用に関連するものであり、アサーション・エラーを引き起こし、サーバをクラッシュさせる可能性を持つものだ。
さらに ISC は、3つ目の脆弱性 CVE-2024-0760 を修正している。TCP 経由で大量のクエリを送信する悪意の DNS クライアントが 、レスポンスを読み取らない場合において、この脆弱性により、サーバの応答の遅延や、他のクライアントへの応答不能などが生じるという。この手法を用いる攻撃者は、DNS サーバに対してサービス拒否攻撃を仕掛けることが可能になる。
ISC は、レスポンスを待たずにリクエストを送信するクライアントを、処理する際にサーバに過負荷を掛ける可能性のある、DNS-over-HTTPS フラッディングの脆弱性 CVE-2024-12705 にも対処した。
推奨事項と緩和策
BIND を使用している組織に対して ISC が強く推奨するのは、最新バージョンへと速やかにアップデートすることだ。BIND 9.18.24 以降には、アサーション・エラーの脆弱性に対する修正が、BIND 9.18.33 以降には、DNS-over-HTTPS フラッディングの脆弱性に対する修正が取り込まれている。
迅速なアップデートが不可能な組織においては、信頼できないソースからの DNS クエリ・トラフィックを制限する、ネットワーク・フィルタリングを実装することで、ある程度の保護は達成される。さらに、パッチ適用が可能になるまで、nxdomain-redirect 機能を無効化することで、脆弱性 CVE-2023-5517 の影響を軽減できる。
DNS 攻撃は、巧妙化を続けている。したがって、DNS インフラに対する定期的なパッチ適用スケジュールの維持が、組織のセキュリティにとって極めて重要となる。
ISC は、新たに発見された脆弱性に対処する、アップデートを継続的にリリースしており、最新バージョンは BIND 9.18.371 となっている。
セキュリティ専門家が推奨するのは、既知の脆弱性へのパッチ適用だけではなく、DNS インフ全体のセキュリティ体制を強化するための DNSSEC 検証の実装と、ISC の DNS サーバ・コンフィグに関するベスト・プラクティスの遵守である。
BIND DNS Server の複数の脆弱性が FIX しました。ご利用のチームは、アップデートをご検討ください。よろしければ、BIND で検索/DNS で検索も、併せてご参照ください。
IoT OT Security News 
You must be logged in to post a comment.