MoinQ:

1. DNS/危険なサービス/JPRSの注意喚起

さくらで露見したサブドメインハイジャック脆弱性にからむ注意喚起である。 リフレッシュ-- ToshinoriMaeno 2014-02-18 01:52:57

そして、とても重要な項目が落ちている。さくらのお知らせでは対策されていないが、言及されている。 
 つまり、JPRSは分っていて、説明していないということだる。(私も気づいていなかった)

-- ToshinoriMaeno 2019-04-19 04:04:10

JPRS:サービス運用上の問題に起因するドメイン名ハイジャックの危険性について http://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html

『運用上の問題』の他にも原因があるので、タイトルはミスリーディングだ。

要点はここに隠されている。(前野はこれを共用DNSサービスと呼んでいる。Managed DNS)

  レンタルサーバーサービス、クラウドサービス、DNSアウトソーシングサービスなどにおいて
 事業者がDNSサービスを提供する際、複数の利用者のドメイン名(ゾーン)を
 同一の権威DNSサーバーに共存させる形で運用する場合  があります。

具体的には、example.jp の任意のサブドメイン、例えば sub.example.jpを、
悪意を持つ第三者が example.jp と同一の権威DNSサーバー、つまり同一IPアドレス上に作成可能であった場合、
example.jp に対するドメイン名ハイジャックが成立することになります。

これだけだと、サブドメインのハイジャックの話に過ぎないが、これだけでは終わらない。

1.1. 乗取り成立の条件

  1. ドメイン登録者とサブドメイン登録者が別人であっても登録可能な運用をしている。
  2. 委譲されていないにもかかわらず、登録(ゾーン?ファイル)は委譲があったものとみなすサーバを使っている。

[推測]:JPRSの注意喚起はDNSサービス業者向けである。 DNSサービス利用者にも警告の存在を示す意味はあるが、理解されるとは期待していない。 ただし、業者向けであっても、技術担当者であり、決定権のあるもの向けではない。 ーーーー今後は後者に向けたアピールも必要だろう。

/業者の反応 /報道

1.2. 引用

▼概要
レンタルサーバーサービス、クラウドサービス、DNSアウトソーシングサービスなどにおいて
事業者がDNSサービスを提供する際、
複数の利用者のドメイン名(ゾーン)を同一の権威DNSサーバーに共存させる形で運用する場合があります。

このような形でDNSサービスを運用し、かつ、
各サービスの利用者自身によるゾーンの新規作成を許可している場合、
DNSサービスにおける運用上の問題により、
各サービスにおいて運用中のドメイン名が、
悪意を持つ第三者によってハイジャックされる危険性があります。

運用形態:複数の利用者のドメイン名(ゾーン)を共存させることは条件にはならない。

「複数の利用者のドメイン名(ゾーン)」が分かりづらい。

既存のゾーンを他利用者に変更させるようなサービスはないと思うので、除外されている。

書き込み(新規作成)できるゾーンが親子(先祖、子孫でもよい)関係にあるときに、 脆弱性が発現する。

1.3. サーバの問題

委譲がないゾーンを委譲があったかのごとく扱うサーバの問題(現存する権威サーバはすべてそうらしい)

  1. BINDなどはサブドメインを優先して返答をするらしい。
  2. tinydns ではサブドメイン内か親ドメイン内かの区別があいまいだ。(データの作り次第)

[同一権威サーバーですでにあるゾーンのサブドメインのゾーンを作るとどうなるか]

1.4. ハイジャックされる危険性

複数の利用者のゾーンを同一の権威DNSサーバー(同一IPアドレス)に共存させる形でDNSサービスを運用し、
かつ、各サービスの利用者自身によるゾーンの新規作成を許可している場合、
DNSサービスにおける運用上の問題により、
各サービスにおいて運用中のドメイン名が、悪意を持つ第三者によってハイジャックされる危険性があります。

ここでも「運用上の問題」を繰り返している。なんらかの意図があるようだ。(コピペ?) -- ToshinoriMaeno 2012-07-02 02:47:09

1.4.1. 運用上の問題

登録させてはならないゾーンやレコードを登録させることを指しているのだろうが、 あいまいすぎる。

DNSサービス業者が脆弱性発生の危険を想定していなかったというのはあり得ないと思いました。
知ってて、検査しなかったか、脆弱なまま放置していたか、どちらかですね。
それを指摘されて、どう言い訳しようか、悩んでいたのでしょう。

Orange さんはサーバにも問題があることに気づいている。

「悪意をもつ第三者」かな:第三者とは? 別の利用者ですね。

1.5. ハイジャックされるドメインとは

  1. 直接的なサブドメイン作成によるサブドメインのハイジャック
  2. 事前にサブドメインを作成しておき、親ドメインが作成されるのを待つ「落とし穴」攻撃

危険なのはサブドメインだけではない。(他にもあるが、明記しない。) -- ToshinoriMaeno 2012-07-02 02:50:34

1.6. 委譲とは

DNSサービスのサーバにどんなゾーンを登録させようが、 それが外部(内部も)から参照されなければ問題は起きない。

外部から参照されるには外部に(さくら)サーバに委譲するNSレコードが存在する必要がある。

親が委譲したと思っている内容と、委譲された側の子の思惑が異なるケースが存在しうる。

1.7. かなり危ないケース

当該ゾーンからの正当な委任がある場合、
   別の利用者によるサブドメインの作成が正当なものとなることに注意が必要です。

危険なのはサブドメインだけか。

1.8. twitter での反応

読んだひと--> お気に入り という調査では

読んだから、理解したとか、他人に説明ができるとかというのは別の話。

さくらの「お知らせ」

1.9. 書かれていない危険

所有確認しないサーバの危険性

hakuba.jp / hakuba.ne.jp であった危険性

MoinQ: DNS/セキュリティ/共用ゾーンサービス/運用上の問題/JPRSの注意喚起 (last edited 2023-07-10 11:49:15 by ToshinoriMaeno)