1. NS名ゾーン問題

以下で紹介された wiz.io の指摘を検討する。

https://www.darkreading.com/vulnerabilities---threats/new-dns-name-server-hijack-attack-exposes-businesses-government-agencies/d/d-id/1341377?utm_content=170954766&utm_medium=social&utm_source=twitter&hss_channel=tw-2572020625

1.1. なにが起きたか

awsdnsでは任意のドメイン名でゾーンが作れる。(一部、制限がある。) 

/ns-852.awsdns-42.netゾーンを作ってみたら、おそろしいことが起きた。

1.2. 起きてはならないこと

リゾルバーはrootサーバーからの委譲のリンクを辿って参照すべきである。

1.3. なぜおきるのか

awsではリゾルバーを含めたサービスを提供している。

たとえば、awsdns-42.net下のホストに関しては、高速化のためにaws内のDBを優先するなどがある。

本当にNS名だけでいいのだろうか。リゾルバーの動作が公開されないのでは分からない。

1.4. 対策内容

「awsdnsで使われているNS名はゾーン登録させない」という対策がなされたようであるが、 それだけでいいのだろうか。

間違い動作をした実装の説明がないので、わからない。-- ToshinoriMaeno 2021-06-30 07:41:18

今回の脆弱性が解消されたのか。この疑問が残るだけで、awsはサービス失格だろう。


CategoryDns CategoryWatch CategoryTemplate

MoinQ: DNS/ManagedDNS/awsdns/NS名ゾーン (last edited 2021-07-03 00:35:19 by ToshinoriMaeno)