今夏も出ましたBIND脆弱性 part 2
2015年8月(先月)にBINDの脆弱性が出ましたが、今月もまたBIND脆弱性を扱います。日本語のリリースが出たのは9月なのですが、BINDの開発元であるISCからリリースが出たのは8月です。
この脆弱性を攻略することで、これもまたDoSを引き起こすことが可能になります。幸い、先月のCVE-2015-5477ほどはeasyではなく、PoCが即リリースされるということはなかったようです。
これもまた避けようがない……が、CVE-2015-5477ほど凶悪ではない
この脆弱性は、基本的にはレスポンスを処理するクライアント側に作用するものです。避けようがないのは事実なのですが、避ける以前に「リクエストに対応して細工したレスポンスを送る」というものなので、まっとうに構成された権威DNSサーバ側に影響するものではありません。とはいえ、いわゆるエンドユーザが利用する端末系システムでこの脆弱性の影響を受けるようなことは想定されるため、脆弱性自体の対応は行う必要があります。対応は、最新バージョンに更新するか、脆弱性対応を行ったパッケージに入れ替えを行うなどの対処が必要になります。
脆弱性トリガのメカニズム
本脆弱性は、先月のサーバに対するものとは異なり、クライアント側でのレスポンス検証処理に存在します。すなわち、リクエストを送信したDNSクライアントに対し、細工したレスポンスを返すことで、返答したクライアントをDoS状態にすることが可能になります。なお、レスポンス自体には、OPENPGP RRを含む必要があります。
OPENPGP RRとは何か
OPENPGP RR(資源レコード)とは、現在標準化が進められている、OpenPGPの公開鍵をDNS経由で配布するための資源レコードです。この資源レコードの扱いは、BIND 9.10.2/9.9.7以降のバージョンでサポートしています。
先月紹介した脆弱性はあまり利用者がいないと思われる処理に、今月紹介した脆弱性は新しい(試験的な)仕様をサポートするための処理にそれぞれ含まれます。枯れたものを使うのも、新しすぎるものを使うのも、いずれもリスクがあります。先月申し上げたように「緊急対応が必要な脆弱性が公開された時の対処方針は予め決めておき」というのは変りません。
Adobe Flash脆弱性狙いの攻撃が急増中~Cisco 2015 Midyear Security Report
2015年8月には、CISCOによる2015年の中間セキュリティレポートがリリースされていますが、その中ではJavaの脆弱性を突いた攻撃がほとんど見られない旨と、Adobe Flashの脆弱性を突いた攻撃が急増している旨が書かれています。
Exploit Kit作者はAdobe Flash脆弱性がお好き?
上記レポートでは、Exploit Kitの作者がAdobe Flashの脆弱性を好んで使う旨も記述されています。Exploit Kitとは、いわゆるWebブラウザでアクセスしただけでマルウエアに感染するような「Drive-by-Download攻撃」を誰でも仕掛けられるように、必要なツールやスクリプト類をセットにしたものですが、基本的に善意ある人が使うものではなく、スキルの不足している攻撃者に対し、あまりよろしくない手合の方々が売りつけるような類のものだと考えればよいでしょう。
以前はこのような攻撃の際には、Javaの脆弱性がよく使われていましたが、最近はFlash狙いのものが増えています。Flashの脆弱性が発見される割には、アップデートをしなくても使い続けることができ、かつアップデートのしくみがあまりこなれていないように見えるため、攻撃者にとっては使いやすいのでしょう。
Adobe Flashを利用する人は、アップデート情報のチェック&自衛を
上記のような状況のため、Adobe Flashを使い続ける人にとっては現状は非常に風当たりが強い状況となっているかと思います。被害を避けるためにできることは、常に最新のAdobe Flashにすることといえます。Adobe Flashを用いるゲームなどをプレイしたりすることが多い方は、アップデート情報のチェックを行い、環境を最新に保つなどの自衛をお勧めします。