Upgrade to Pro — share decks privately, control downloads, hide ads and more …

権威DNSサーバを作ってみよう ゼロから始めるファジング生活

Toshifumi Sakaguchi
August 07, 2018
Technology
0
220

権威DNSサーバを作ってみよう ゼロから始めるファジング生活

Toshifumi Sakaguchi

August 07, 2018
Tweet

More Decks by Toshifumi Sakaguchi

See All by Toshifumi Sakaguchi
NSEC/NSEC3のType Bit Mapsについて
sischkg
0
110
Fuzzing Full Resolverのまとめ
sischkg
1
1.3k
BIND Memory leak Vulnerability and Root KSK Rollover
sischkg
0
51
BIND Memory leak Vulnerability and Root KSK Rollover
sischkg
0
600
きのこさんの宣伝
sischkg
0
32
DNS_Fullresolver_onsen.pdf
sischkg
0
180
Fuzzing Full-Resolver ver DNS Onsen
sischkg
0
59
DNS_Fullresolver_fuzzing_janog_42_5.pdf
sischkg
0
100
Fuzzing Full-Resolver ( JANOG interim 42.5 )
sischkg
0
120

Other Decks in Technology

See All in Technology
経営統合をきっかけに会社をエンジニアリングした話 / btconjp-2023
carta_engineering
0
110
日本ディープラーニング協会主催 NeurIPS 2022 技術報告会講演資料
tdailab
0
990
2年で10→70人へ! スタートアップの 情報セキュリティ課題と施策
miekobayashi
1
200
プログラミング支援AI GitHub Copilot すごいの話
moyashi
0
280
マイクロサービス宣言から8年 振り返りとこれから / Eight Years After the Microservices Declaration A Look Back and A Look Ahead
eisuke
2
130
グローバルチームことはじめ / Bootstrapping a global team
tasshi
1
630
2022年に起きたフロントエンドの変化
sakito
29
17k
ERC3525 Semi-Fungible token
sbtechnight
0
330
チケットNFTの仕組み
sbtechnight
0
330
ステート管理を超えるRecoil運用の考え方
uhyo
7
5.5k
私見「UNIXの考え方」/20230124-kameda-unix-phylosophy
opelab
0
160
OVN-Kubernetes-Introduction-ja-2023-01-27.pdf
orimanabu
1
240

Featured

See All Featured
Music & Morning Musume
bryan
36
4.6k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
351
21k
5 minutes of I Can Smell Your CMS
philhawksworth
198
18k
Fireside Chat
paigeccino
16
1.8k
Making the Leap to Tech Lead
cromwellryan
116
7.7k
Thoughts on Productivity
jonyablonski
49
2.7k
From Idea to $5000 a Month in 5 Months
shpigford
374
44k
Faster Mobile Websites
deanohume
295
29k
10 Git Anti Patterns You Should be Aware of
lemiorhan
643
54k
The Brand Is Dead. Long Live the Brand.
mthomps
48
2.9k
Into the Great Unknown - MozCon
thekraken
2
280
Rebuilding a faster, lazier Slack
samanthasiow
69
7.5k

Transcript

  1. 権威DNSサーバを作ってみよう ゼロから始めるファジング生活 坂口 俊文 2018/08/07

  2. 自己紹介 坂口 俊文 • 4年前までは、ISPのメール・DNS…サーバの管理者 • 現在はとあるクラウドサービスのサポート • 本日も個人参加 •

    Twitter: @siskrn • GitHub: https://github.com/sischkg/ 2

  3. はじめに 本日は、最近開発・利用しているDNSフルリゾルバ専用の ファジングツールについて発表します。 今年のDNS Summer Dayの発表+Updateとなります。 2018/8/07に以下の点を更新しました。 • ワイルドカード対応 •

    Knot Resolver 2.4.0において修正された不具合の件 3

  4. 動機 これまで • 公開されたDNSサーバの脆弱性を検証 • フルリゾルバの脆弱性を検証する場合は、特殊な応答を返す権威サ ーバを作成 課題 • 権威サーバの作成を効率化

    • DNSSEC validation有効時のみ影響のある脆弱性にも対応 この課題の対応を検討中に、応答の自動生成によるフルリゾルバ専用 のファジングツールの作成を思いつく 4

  5. ファジングとは • バグや未知の脆弱性を検出するセキュリティテスト • 問題が起きそうな様々な細工をしたデータを送り、検査対象に異常 な動作が起きないかどうかを検査 • 問題を起こしそうなデータは、ファジングツールを使うと自動的に 作成することができる 詳細

    IPA : 情報セキュリティ :ファジング:FAQ https://www.ipa.go.jp/security/vuln/fuzz_faq.html#001 5

  6. ファジングツールの概要 • 最初に権威サーバとして正規の応答を作成し、それを改変してから フルリゾルバへ送信する • 特殊な応答は乱数をもとに作成 • フルリゾルバが異常終了(assert/segmentation fault)する不具合を探 す

    • 毒入れなどは検知が困難なため、対象外とする 6 フルリゾルバ 権威サーバとして 正規の応答を作成 改変 権威サーバ

  7. 権威サーバの実装 • DNSSECに対応(RRSetの署名/NSEC/NSEC3) • 完全な権威サーバを実装しない – ゾーンはひとつのみ – 以下の機能は未実装 •

    ワイルドカード 実装済み • NSEC3 Opt-out • TSIG など 7

  8. ファジングの実装 過去の(BINDなどの)脆弱性を参考に実装 • RRの追加・変更・削除 – RRを追加 • CNAME/DNAME – CVE-2017-3137(https://kb.isc.org/article/AA-01466/0/)

    A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME • DNSSEC関連 (DNSKEY/RRSIG/DS/NSEC/NSEC3) – DNSSEC validation有効なときの脆弱性があったため – CVE-2017-15908(http://blog.trendmicro.co.jp/archives/16583) "Linux PC に対する DoS 攻撃が可能な「systemd」の脆弱性について解説" • TSIG, TKEYなどのRR – CVE-2016-9131(https://www.fortinet.com/blog/threat-research/analysis-of-isc-bind-tkey-query-response-handling-dos- cve-2016-9131.html) Analysis of ISC BIND TKEY Query Response Handling DoS (CVE-2016-9131) • ドメイン名を乱数から自動生成 8

  9. ファジングの実装 – RRのクラスを変更 • IN ⇒ CH/HS/NONE/ANY CVE-2015-8000(https://kb.isc.org/article/AA-01317) Responses with

    a malformed class attribute can trigger an assertion failure in db.c – 乱数をもとに作成したTTL/TYPE/RDATA 未実装のRRに対応 – OPT RR • ペイロードサイズ、拡張RCODEを乱数から生成 CVE-2016-2848(https://kb.isc.org/article/AA-01317) A packet with malformed options can trigger an assertion ... • NSID, ECS, COOKIE, TCP-KEEPALIVEを追加 • 乱数をもとに作成したOPTION 9

  10. ファジングの実装 • RCODEの変更 • 署名 – ファジングで追加・変更したRRSetも署名 – OPT, TSIG,

    RRSIGなども署名 • 各セクションでのRRの順序変更 • DNSメッセージの変更 – バイナリデータの追加・変更・削除 10

  11. ファジングの実装 クライアント(スタブリゾルバ) • 問い合わせの作成 – QNAME 権威サーバ側のゾーンデータをもとに生成 – QTYPE, QCLASS

    乱数から生成 – OPT ペイロードサイズを乱数から生成 • 問い合わせを一定間隔でフルリゾルバへ送信 フルリゾルバが異常終了するまで放置 11

  12. 例1 12

  13. 例2 13

  14. 調査対象 • フルリゾルバ – BIND 9.12.x, 9.7.x(CentOS 6.x RPM) –

    Unbound – PowerDNS 3.x, 4.x – Knot Resolver • ついでに – dnsmasq – dnsdist – coredns 14

  15. 調査対象 15 fuzz_server BIND 9.7.x PowerDNS Recursor 4.x PowerDNS Recursor

    3.x Knot Resolver Unbound Unbound Unbound dnsmasq coredns dnsdist fuzz_client Unbound BIND 9.12.x

  16. 脆弱性発見後の対応 原因となる応答の調査 • パケットキャプチャしながらファジング • デバッガ上で再度ファジングして解析 • クラッシュ時のメッセージやデバッガの出力からフルリゾルバのソ ースを探索 検証コードや再現手順を開発元へ報告

    16

  17. 結果1 • PowerDNS Security Advisory 2017-08: Crafted CNAME answer can

    cause a denial of service – https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2017-08.html • Knot Resolver: fix CVE-2018-1110: denial of service triggered by malformed DNS messages (2件の問題) https://lists.nic.cz/pipermail/knot-resolver-announce/2018/000000.html – https://gitlab.labs.nic.cz/knot/knot-resolver/issues/334 – https://gitlab.labs.nic.cz/knot/knot-resolver/issues/335 • Knot-Resolver 2.3.0 crashes in module/stats. libknot(knot-dns)の"knot_dname_to_str memory overflow"に起因 – https://gitlab.labs.nic.cz/knot/knot-dns/raw/v2.6.7/NEWS – https://gitlab.labs.nic.cz/knot/knot-resolver/issues/354 17

  18. 結果2 • knot-resolver 2.3.0 aborted with "kresd: libknot/packet/pkt.c:84: pkt_wire_alloc: Assertion

    `len >= KNOT_WIRE_HEADER_SIZE' failed." – https://gitlab.labs.nic.cz/knot/knot-resolver/issues/366 – 反復問い合わせ中のある状態で、DNSヘッダサイズより小さな応答を受信すると、強制終了する – ChangeLogではなぜか"minimal libknot version is now 2.6.7 to pull in latest fixes (#366 (closed))"とい う扱い – CVE assignment"後に修正予定 → Knot Resolver 2.4.1がリリースされた 18

  19. 最後に • ファジングツールにより4件?脆弱性を発見できた。 • 特にQuad9(9.9.9.9)、Cloudflare(1.1.1.1)で利用されているPowerDNS Recursor/Knot Resolverの脆弱性を発見できた意義は大きい • 過去の(BIND)の脆弱性に類似したものが、他のフルリゾルバでも発 見できた(BIND:CVE-2015-8000

    →PowerDNS Security Advisory 2017-08) 19