Upgrade to Pro — share decks privately, control downloads, hide ads and more …

権威DNSサーバを作ってみよう ゼロから始めるファジング生活

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Toshifumi Sakaguchi Toshifumi Sakaguchi
August 07, 2018
Technology
0
380

権威DNSサーバを作ってみよう ゼロから始めるファジング生活

Avatar for Toshifumi Sakaguchi

Toshifumi Sakaguchi

August 07, 2018
Tweet

More Decks by Toshifumi Sakaguchi

See All by Toshifumi Sakaguchi
DNSメッセージの仕様による性能問題とその対策とこれから
Avatar for Toshifumi Sakaguchi sischkg
0
69
NSEC/NSEC3のType Bit Mapsについて
Avatar for Toshifumi Sakaguchi sischkg
0
240
Fuzzing Full Resolverのまとめ
Avatar for Toshifumi Sakaguchi sischkg
1
2.2k
BIND Memory leak Vulnerability and Root KSK Rollover
Avatar for Toshifumi Sakaguchi sischkg
0
150
BIND Memory leak Vulnerability and Root KSK Rollover
Avatar for Toshifumi Sakaguchi sischkg
0
900
きのこさんの宣伝
Avatar for Toshifumi Sakaguchi sischkg
0
66
DNS_Fullresolver_onsen.pdf
Avatar for Toshifumi Sakaguchi sischkg
0
420
Fuzzing Full-Resolver ver DNS Onsen
Avatar for Toshifumi Sakaguchi sischkg
0
210
DNS_Fullresolver_fuzzing_janog_42_5.pdf
Avatar for Toshifumi Sakaguchi sischkg
0
160

Other Decks in Technology

See All in Technology
Scrumは歪む — 組織設計の原理原則
Avatar for Daisuke Ashihara dashi
0
130
開発組織の課題解決を加速するための権限委譲 -する側、される側としての向き合い方-
Avatar for daitasu daitasu
5
590
マルチアカウント環境でSecurity Hubの運用!導入の苦労とポイント / JAWS DAYS 2026
Avatar for GENDA genda
0
520
今のWordPress の制作手法ってなにがあんねん?(改) / What’s the Deal with WordPress Development These Days?
Avatar for tbshiki tbshiki
0
320
白金鉱業Meetup_Vol.22_Orbital Senseを支える衛星画像のマルチモーダルエンベディングと地理空間のあいまい検索技術
Avatar for BrainPad brainpadpr
2
290
Evolution of Claude Code & How to use features
Avatar for Oikon oikon48
1
590
ナレッジワーク IT情報系キャリア研究セッション資料(情報処理学会 第88回全国大会 )
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
170
GitLab Duo Agent Platform + Local LLMサービングで幸せになりたい
Avatar for jyoshise jyoshise
0
290
作りっぱなしで終わらせない! 価値を出し続ける AI エージェントのための「信頼性」設計 / Designing Reliability for AI Agents that Deliver Continuous Value
Avatar for Kento Kimura aoto
PRO
2
280
猫でもわかるKiro CLI(AI 駆動開発への道編)
Avatar for Hiroo Katoh kentapapa
0
140
NewSQL_ ストレージ分離と分散合意を用いたスケーラブルアーキテクチャ
Avatar for hacomono Inc. hacomono
PRO
2
260
20260311 ビジネスSWG活動報告(デジタルアイデンティティ人材育成推進WG Ph2 活動報告会)
Avatar for OpenID Foundation Japan oidfj
0
270

Featured

See All Featured
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
540
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
17k
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
Avatar for Liv Day livdayseo
0
83
Leadership Guide Workshop - DevTernity 2021
Avatar for David Neal reverentgeek
1
240
Public Speaking Without Barfing On Your Shoes - THAT 2023
Avatar for David Neal reverentgeek
1
330
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.7k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.8k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
34
2.7k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
61
52k
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
840
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
150

Transcript

  1. 権威DNSサーバを作ってみよう ゼロから始めるファジング生活 坂口 俊文 2018/08/07

  2. 自己紹介 坂口 俊文 • 4年前までは、ISPのメール・DNS…サーバの管理者 • 現在はとあるクラウドサービスのサポート • 本日も個人参加 •

    Twitter: @siskrn • GitHub: https://github.com/sischkg/ 2

  3. はじめに 本日は、最近開発・利用しているDNSフルリゾルバ専用の ファジングツールについて発表します。 今年のDNS Summer Dayの発表+Updateとなります。 2018/8/07に以下の点を更新しました。 • ワイルドカード対応 •

    Knot Resolver 2.4.0において修正された不具合の件 3

  4. 動機 これまで • 公開されたDNSサーバの脆弱性を検証 • フルリゾルバの脆弱性を検証する場合は、特殊な応答を返す権威サ ーバを作成 課題 • 権威サーバの作成を効率化

    • DNSSEC validation有効時のみ影響のある脆弱性にも対応 この課題の対応を検討中に、応答の自動生成によるフルリゾルバ専用 のファジングツールの作成を思いつく 4

  5. ファジングとは • バグや未知の脆弱性を検出するセキュリティテスト • 問題が起きそうな様々な細工をしたデータを送り、検査対象に異常 な動作が起きないかどうかを検査 • 問題を起こしそうなデータは、ファジングツールを使うと自動的に 作成することができる 詳細

    IPA : 情報セキュリティ :ファジング:FAQ https://www.ipa.go.jp/security/vuln/fuzz_faq.html#001 5

  6. ファジングツールの概要 • 最初に権威サーバとして正規の応答を作成し、それを改変してから フルリゾルバへ送信する • 特殊な応答は乱数をもとに作成 • フルリゾルバが異常終了(assert/segmentation fault)する不具合を探 す

    • 毒入れなどは検知が困難なため、対象外とする 6 フルリゾルバ 権威サーバとして 正規の応答を作成 改変 権威サーバ

  7. 権威サーバの実装 • DNSSECに対応(RRSetの署名/NSEC/NSEC3) • 完全な権威サーバを実装しない – ゾーンはひとつのみ – 以下の機能は未実装 •

    ワイルドカード 実装済み • NSEC3 Opt-out • TSIG など 7

  8. ファジングの実装 過去の(BINDなどの)脆弱性を参考に実装 • RRの追加・変更・削除 – RRを追加 • CNAME/DNAME – CVE-2017-3137(https://kb.isc.org/article/AA-01466/0/)

    A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME • DNSSEC関連 (DNSKEY/RRSIG/DS/NSEC/NSEC3) – DNSSEC validation有効なときの脆弱性があったため – CVE-2017-15908(http://blog.trendmicro.co.jp/archives/16583) "Linux PC に対する DoS 攻撃が可能な「systemd」の脆弱性について解説" • TSIG, TKEYなどのRR – CVE-2016-9131(https://www.fortinet.com/blog/threat-research/analysis-of-isc-bind-tkey-query-response-handling-dos- cve-2016-9131.html) Analysis of ISC BIND TKEY Query Response Handling DoS (CVE-2016-9131) • ドメイン名を乱数から自動生成 8

  9. ファジングの実装 – RRのクラスを変更 • IN ⇒ CH/HS/NONE/ANY CVE-2015-8000(https://kb.isc.org/article/AA-01317) Responses with

    a malformed class attribute can trigger an assertion failure in db.c – 乱数をもとに作成したTTL/TYPE/RDATA 未実装のRRに対応 – OPT RR • ペイロードサイズ、拡張RCODEを乱数から生成 CVE-2016-2848(https://kb.isc.org/article/AA-01317) A packet with malformed options can trigger an assertion ... • NSID, ECS, COOKIE, TCP-KEEPALIVEを追加 • 乱数をもとに作成したOPTION 9

  10. ファジングの実装 • RCODEの変更 • 署名 – ファジングで追加・変更したRRSetも署名 – OPT, TSIG,

    RRSIGなども署名 • 各セクションでのRRの順序変更 • DNSメッセージの変更 – バイナリデータの追加・変更・削除 10

  11. ファジングの実装 クライアント(スタブリゾルバ) • 問い合わせの作成 – QNAME 権威サーバ側のゾーンデータをもとに生成 – QTYPE, QCLASS

    乱数から生成 – OPT ペイロードサイズを乱数から生成 • 問い合わせを一定間隔でフルリゾルバへ送信 フルリゾルバが異常終了するまで放置 11

  12. 例1 12

  13. 例2 13

  14. 調査対象 • フルリゾルバ – BIND 9.12.x, 9.7.x(CentOS 6.x RPM) –

    Unbound – PowerDNS 3.x, 4.x – Knot Resolver • ついでに – dnsmasq – dnsdist – coredns 14

  15. 調査対象 15 fuzz_server BIND 9.7.x PowerDNS Recursor 4.x PowerDNS Recursor

    3.x Knot Resolver Unbound Unbound Unbound dnsmasq coredns dnsdist fuzz_client Unbound BIND 9.12.x

  16. 脆弱性発見後の対応 原因となる応答の調査 • パケットキャプチャしながらファジング • デバッガ上で再度ファジングして解析 • クラッシュ時のメッセージやデバッガの出力からフルリゾルバのソ ースを探索 検証コードや再現手順を開発元へ報告

    16

  17. 結果1 • PowerDNS Security Advisory 2017-08: Crafted CNAME answer can

    cause a denial of service – https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2017-08.html • Knot Resolver: fix CVE-2018-1110: denial of service triggered by malformed DNS messages (2件の問題) https://lists.nic.cz/pipermail/knot-resolver-announce/2018/000000.html – https://gitlab.labs.nic.cz/knot/knot-resolver/issues/334 – https://gitlab.labs.nic.cz/knot/knot-resolver/issues/335 • Knot-Resolver 2.3.0 crashes in module/stats. libknot(knot-dns)の"knot_dname_to_str memory overflow"に起因 – https://gitlab.labs.nic.cz/knot/knot-dns/raw/v2.6.7/NEWS – https://gitlab.labs.nic.cz/knot/knot-resolver/issues/354 17

  18. 結果2 • knot-resolver 2.3.0 aborted with "kresd: libknot/packet/pkt.c:84: pkt_wire_alloc: Assertion

    `len >= KNOT_WIRE_HEADER_SIZE' failed." – https://gitlab.labs.nic.cz/knot/knot-resolver/issues/366 – 反復問い合わせ中のある状態で、DNSヘッダサイズより小さな応答を受信すると、強制終了する – ChangeLogではなぜか"minimal libknot version is now 2.6.7 to pull in latest fixes (#366 (closed))"とい う扱い – CVE assignment"後に修正予定 → Knot Resolver 2.4.1がリリースされた 18

  19. 最後に • ファジングツールにより4件?脆弱性を発見できた。 • 特にQuad9(9.9.9.9)、Cloudflare(1.1.1.1)で利用されているPowerDNS Recursor/Knot Resolverの脆弱性を発見できた意義は大きい • 過去の(BIND)の脆弱性に類似したものが、他のフルリゾルバでも発 見できた(BIND:CVE-2015-8000

    →PowerDNS Security Advisory 2017-08) 19