Upgrade to Pro — share decks privately, control downloads, hide ads and more …

権威DNSサーバを作ってみよう ゼロから始めるファジング生活

Avatar for Toshifumi Sakaguchi Toshifumi Sakaguchi
August 07, 2018
Technology
0
370

権威DNSサーバを作ってみよう ゼロから始めるファジング生活

Avatar for Toshifumi Sakaguchi

Toshifumi Sakaguchi

August 07, 2018
Tweet

More Decks by Toshifumi Sakaguchi

See All by Toshifumi Sakaguchi
DNSメッセージの仕様による性能問題とその対策とこれから
Avatar for Toshifumi Sakaguchi sischkg
0
38
NSEC/NSEC3のType Bit Mapsについて
Avatar for Toshifumi Sakaguchi sischkg
0
220
Fuzzing Full Resolverのまとめ
Avatar for Toshifumi Sakaguchi sischkg
1
2.1k
BIND Memory leak Vulnerability and Root KSK Rollover
Avatar for Toshifumi Sakaguchi sischkg
0
130
BIND Memory leak Vulnerability and Root KSK Rollover
Avatar for Toshifumi Sakaguchi sischkg
0
860
きのこさんの宣伝
Avatar for Toshifumi Sakaguchi sischkg
0
61
DNS_Fullresolver_onsen.pdf
Avatar for Toshifumi Sakaguchi sischkg
0
390
Fuzzing Full-Resolver ver DNS Onsen
Avatar for Toshifumi Sakaguchi sischkg
0
180
DNS_Fullresolver_fuzzing_janog_42_5.pdf
Avatar for Toshifumi Sakaguchi sischkg
0
140

Other Decks in Technology

See All in Technology
〜『世界中の家族のこころのインフラ』を目指して”次の10年”へ〜 SREが導いたグローバルサービスの信頼性向上戦略とその舞台裏 / Towards the Next Decade: Enhancing Global Service Reliability
Avatar for kohbis kohbis
2
370
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
Avatar for soudai sone soudai
PRO
54
21k
スタートアップに選択肢を 〜生成AIを活用したセカンダリー事業への挑戦〜
Avatar for Nstock nstock
0
260
CDK Toolkit Libraryにおけるテストの考え方
Avatar for Makky12 smt7174
0
130
American airlines ®️ USA Contact Numbers: Complete 2025 Support Guide
Avatar for markhor64456 airhelpsupport
0
390
データ基盤からデータベースまで?広がるユースケースのDatabricksについて教えるよ!
Avatar for Akihiro Kuwano akuwano
3
140
AI エージェントと考え直すデータ基盤
Avatar for na0 na0
17
5.6k
React開発にStorybookとCopilotを導入して、爆速でUIを編集・確認する方法
Avatar for yut yu_kod
1
300
LLM時代の検索
Avatar for shibuiwilliam shibuiwilliam
2
430
How Do I Contact HP Printer Support? [Full 2025 Guide for U.S. Businesses]
Avatar for jackkkk harrry1211
0
130
20250707-AI活用の個人差を埋めるチームづくり
Avatar for shnjtk shnjtk
6
4k
Operating Operator
Avatar for Jun Kokatsu shhnjk
1
620

Featured

See All Featured
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
120k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.7k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
7
510
Done Done
Avatar for chrislema chrislema
184
16k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
1.8k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
336
57k
Building Applications with DynamoDB
Avatar for Matt Wood mza
95
6.5k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
980
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
32
1k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
357
30k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
161
15k
Making Projects Easy
Avatar for Brett Harned brettharned
116
6.3k

Transcript

  1. 権威DNSサーバを作ってみよう ゼロから始めるファジング生活 坂口 俊文 2018/08/07

  2. 自己紹介 坂口 俊文 • 4年前までは、ISPのメール・DNS…サーバの管理者 • 現在はとあるクラウドサービスのサポート • 本日も個人参加 •

    Twitter: @siskrn • GitHub: https://github.com/sischkg/ 2

  3. はじめに 本日は、最近開発・利用しているDNSフルリゾルバ専用の ファジングツールについて発表します。 今年のDNS Summer Dayの発表+Updateとなります。 2018/8/07に以下の点を更新しました。 • ワイルドカード対応 •

    Knot Resolver 2.4.0において修正された不具合の件 3

  4. 動機 これまで • 公開されたDNSサーバの脆弱性を検証 • フルリゾルバの脆弱性を検証する場合は、特殊な応答を返す権威サ ーバを作成 課題 • 権威サーバの作成を効率化

    • DNSSEC validation有効時のみ影響のある脆弱性にも対応 この課題の対応を検討中に、応答の自動生成によるフルリゾルバ専用 のファジングツールの作成を思いつく 4

  5. ファジングとは • バグや未知の脆弱性を検出するセキュリティテスト • 問題が起きそうな様々な細工をしたデータを送り、検査対象に異常 な動作が起きないかどうかを検査 • 問題を起こしそうなデータは、ファジングツールを使うと自動的に 作成することができる 詳細

    IPA : 情報セキュリティ :ファジング:FAQ https://www.ipa.go.jp/security/vuln/fuzz_faq.html#001 5

  6. ファジングツールの概要 • 最初に権威サーバとして正規の応答を作成し、それを改変してから フルリゾルバへ送信する • 特殊な応答は乱数をもとに作成 • フルリゾルバが異常終了(assert/segmentation fault)する不具合を探 す

    • 毒入れなどは検知が困難なため、対象外とする 6 フルリゾルバ 権威サーバとして 正規の応答を作成 改変 権威サーバ

  7. 権威サーバの実装 • DNSSECに対応(RRSetの署名/NSEC/NSEC3) • 完全な権威サーバを実装しない – ゾーンはひとつのみ – 以下の機能は未実装 •

    ワイルドカード 実装済み • NSEC3 Opt-out • TSIG など 7

  8. ファジングの実装 過去の(BINDなどの)脆弱性を参考に実装 • RRの追加・変更・削除 – RRを追加 • CNAME/DNAME – CVE-2017-3137(https://kb.isc.org/article/AA-01466/0/)

    A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME • DNSSEC関連 (DNSKEY/RRSIG/DS/NSEC/NSEC3) – DNSSEC validation有効なときの脆弱性があったため – CVE-2017-15908(http://blog.trendmicro.co.jp/archives/16583) "Linux PC に対する DoS 攻撃が可能な「systemd」の脆弱性について解説" • TSIG, TKEYなどのRR – CVE-2016-9131(https://www.fortinet.com/blog/threat-research/analysis-of-isc-bind-tkey-query-response-handling-dos- cve-2016-9131.html) Analysis of ISC BIND TKEY Query Response Handling DoS (CVE-2016-9131) • ドメイン名を乱数から自動生成 8

  9. ファジングの実装 – RRのクラスを変更 • IN ⇒ CH/HS/NONE/ANY CVE-2015-8000(https://kb.isc.org/article/AA-01317) Responses with

    a malformed class attribute can trigger an assertion failure in db.c – 乱数をもとに作成したTTL/TYPE/RDATA 未実装のRRに対応 – OPT RR • ペイロードサイズ、拡張RCODEを乱数から生成 CVE-2016-2848(https://kb.isc.org/article/AA-01317) A packet with malformed options can trigger an assertion ... • NSID, ECS, COOKIE, TCP-KEEPALIVEを追加 • 乱数をもとに作成したOPTION 9

  10. ファジングの実装 • RCODEの変更 • 署名 – ファジングで追加・変更したRRSetも署名 – OPT, TSIG,

    RRSIGなども署名 • 各セクションでのRRの順序変更 • DNSメッセージの変更 – バイナリデータの追加・変更・削除 10

  11. ファジングの実装 クライアント(スタブリゾルバ) • 問い合わせの作成 – QNAME 権威サーバ側のゾーンデータをもとに生成 – QTYPE, QCLASS

    乱数から生成 – OPT ペイロードサイズを乱数から生成 • 問い合わせを一定間隔でフルリゾルバへ送信 フルリゾルバが異常終了するまで放置 11

  12. 例1 12

  13. 例2 13

  14. 調査対象 • フルリゾルバ – BIND 9.12.x, 9.7.x(CentOS 6.x RPM) –

    Unbound – PowerDNS 3.x, 4.x – Knot Resolver • ついでに – dnsmasq – dnsdist – coredns 14

  15. 調査対象 15 fuzz_server BIND 9.7.x PowerDNS Recursor 4.x PowerDNS Recursor

    3.x Knot Resolver Unbound Unbound Unbound dnsmasq coredns dnsdist fuzz_client Unbound BIND 9.12.x

  16. 脆弱性発見後の対応 原因となる応答の調査 • パケットキャプチャしながらファジング • デバッガ上で再度ファジングして解析 • クラッシュ時のメッセージやデバッガの出力からフルリゾルバのソ ースを探索 検証コードや再現手順を開発元へ報告

    16

  17. 結果1 • PowerDNS Security Advisory 2017-08: Crafted CNAME answer can

    cause a denial of service – https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2017-08.html • Knot Resolver: fix CVE-2018-1110: denial of service triggered by malformed DNS messages (2件の問題) https://lists.nic.cz/pipermail/knot-resolver-announce/2018/000000.html – https://gitlab.labs.nic.cz/knot/knot-resolver/issues/334 – https://gitlab.labs.nic.cz/knot/knot-resolver/issues/335 • Knot-Resolver 2.3.0 crashes in module/stats. libknot(knot-dns)の"knot_dname_to_str memory overflow"に起因 – https://gitlab.labs.nic.cz/knot/knot-dns/raw/v2.6.7/NEWS – https://gitlab.labs.nic.cz/knot/knot-resolver/issues/354 17

  18. 結果2 • knot-resolver 2.3.0 aborted with "kresd: libknot/packet/pkt.c:84: pkt_wire_alloc: Assertion

    `len >= KNOT_WIRE_HEADER_SIZE' failed." – https://gitlab.labs.nic.cz/knot/knot-resolver/issues/366 – 反復問い合わせ中のある状態で、DNSヘッダサイズより小さな応答を受信すると、強制終了する – ChangeLogではなぜか"minimal libknot version is now 2.6.7 to pull in latest fixes (#366 (closed))"とい う扱い – CVE assignment"後に修正予定 → Knot Resolver 2.4.1がリリースされた 18

  19. 最後に • ファジングツールにより4件?脆弱性を発見できた。 • 特にQuad9(9.9.9.9)、Cloudflare(1.1.1.1)で利用されているPowerDNS Recursor/Knot Resolverの脆弱性を発見できた意義は大きい • 過去の(BIND)の脆弱性に類似したものが、他のフルリゾルバでも発 見できた(BIND:CVE-2015-8000

    →PowerDNS Security Advisory 2017-08) 19