セキュリティ企業のSucuriは8月2日、DNSサーバソフト「BIND 9」のサービス妨害(DoS)の脆弱性を突く攻撃の発生を確認したと伝えた。この脆弱性は、開発元のInternet Systems Consortium(ISC)が7月28日にパッチを公開して修正したばかりだった。
この脆弱性はTKEYクエリーを処理する際の問題に起因する。悪用された場合、リモートの認証を受けない攻撃者がUDPパケット1つでBINDデーモンをクラッシュさせ、DNSサーバをダウンさせることが可能とされる。インターネットインフラの根幹を担うDNSがダウンすれば、メールやHTTPなど全サービスが利用不能になる。
Sucuriによれば、攻撃の標的になっているかどうかは、DNSログの中に「ANY TKEY」があるかどうか確認することでチェックできる。TKEYリクエスト自体があまり一般的ではないことから、TKEYリクエストを探すだけで攻撃の兆候はつかめるとしている。
今回の脆弱性は、ほぼ全てのBINDサーバが影響を受ける。パッチを当てる以外に回避策は存在せず、ファイアウォールで不正なパケットを検出することも難しいという。ISCの研究者はパッチが公開された時点で「防御が困難な一方で、リバースエンジニアリングはそれほど難しくない」と述べ、攻撃発生は時間の問題だと予想していた。
Redhat、Centos、Ubuntuなどの主要Linuxディストリビューターは全てパッチを公開済み。まだパッチを適用していない場合は直ちに対応する必要がある。
関連記事
- BIND 9の脆弱性が修正 「防御困難、悪用容易」
パッチを適用しない限り、ほぼ全てのBINDサーバが影響を受ける。「防御が困難な一方で、リバースエンジニアリングはそれほど難しくない」と関係者は警告している。 - BIND 9にDoSの脆弱性、修正版がリリース
開発元のInternet Systems Consortiumが適用を呼び掛けている。 - DNSソフト開発元サイトがダウン、利用者にマルウェア検査を要請
BIND 9やDHCPなどの提供するInternet Systems ConsortiumのWebサイトにマルウェアが仕掛けられた可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.