令和3年春期午後問1
広告
レックスさん
(No.1)
https://www.ap-siken.com/kakomon/03_haru/pm01.html
こちら設問2の(1)で、管理者権限を奪われた為、Aレコードを改ざんされたとの事ですが、インターネットからDNSサーバへのアクセスはDNSプロトコルに制限されていたのに、(おそらくSSHでログインされた上で)改ざんされてしまったのは何故でしょうか?
こちら設問2の(1)で、管理者権限を奪われた為、Aレコードを改ざんされたとの事ですが、インターネットからDNSサーバへのアクセスはDNSプロトコルに制限されていたのに、(おそらくSSHでログインされた上で)改ざんされてしまったのは何故でしょうか?
2022.02.12 20:47
キリマンジャロさん
(No.2)
DNSのソフトが古くてDNSプロトコルを使って、
管理者権限を奪取できる脆弱性があったという事です。
SSHでログインされて改竄されたかどうかは
問題文からでは分かりません。
また、DNSプロトコルを使ってどのように
管理者権限を奪取したのかも問題文からでは
分かりません。
管理者権限を奪取できる脆弱性があったという事です。
SSHでログインされて改竄されたかどうかは
問題文からでは分かりません。
また、DNSプロトコルを使ってどのように
管理者権限を奪取したのかも問題文からでは
分かりません。
2022.02.12 23:54
キリマンジャロさん
(No.3)
DNS関連のパケットを生成して、
レコードを書き換えれる脆弱性が
あったという事です。
レコードを書き換えれる脆弱性が
あったという事です。
2022.02.13 00:05
GinSanaさん
★AP プラチナマイスター
(No.4)
この投稿は投稿者により削除されました。(2022.02.13 00:32)
2022.02.13 00:32
GinSanaさん
★AP プラチナマイスター
(No.5)
おそらくこのネタは、2020年7月のWindows DNSサーバーの脆弱性(CVE-2020-1350)を題材にしたんだと思いますねえ。
www.ssk-kan.co.jp/topics/topics_cat05/?p=11032
Windows DNSサーバーの脆弱性(CVE-2020-1350について) | サービス&セキュリティ株式会社
BINDとか使ってると、まったく気にしてなかったところですが、そうもいかないのは
最初はTCPフォールバック(※)で、でかいデータや古くさいDNSならTCPも使うから(基本いまはUDPだけど)CONNECTメソッドで53番を不正中継するのはどうだ?とか思ったりもしましたが、まあないですかね。問題文があっさりしててよくわかりません。
※DNSでは、大きなデータを扱う場合にはTCPを使うことができる。DNSサーバは、応答メッセージが大きくなると、512バイトに情報を切り詰めて、TCビットをセットして応答を返す。これを受け取ったクライアントは、同じ問い合わせをTCPで行う。TCPでは、メッセージサイズの上限はないため、クライアントは確実に情報を受けとることができる。これがTCPフォールバック。
www.ssk-kan.co.jp/topics/topics_cat05/?p=11032
Windows DNSサーバーの脆弱性(CVE-2020-1350について) | サービス&セキュリティ株式会社
BINDとか使ってると、まったく気にしてなかったところですが、そうもいかないのは
Windows DNSサーバーの脆弱性はRCE(リモートコード実行)の脆弱性です。
脆弱なDNSサーバーに細工したDNSクエリを送信することでバッファオーバーフローが起き、攻撃者は任意のコード実行ができます。
任意のコード実行により情報の窃取や改ざん、マルウェア感染などを引き起こすことができるためRCEの脆弱性は高い危険性を持ちます。
とまあ、レコードの改竄(これは結局テキストレコードの書き換えだから・・・)までDNSプロトコルによる任意コード実行でできちゃったね、みたいなことが起きたんじゃないかとは思います・・・が、ほかになかなか思い付かなかったので、突拍子もないと思ったら他の人が答えたのを参考にしてください。脆弱なDNSサーバーに細工したDNSクエリを送信することでバッファオーバーフローが起き、攻撃者は任意のコード実行ができます。
任意のコード実行により情報の窃取や改ざん、マルウェア感染などを引き起こすことができるためRCEの脆弱性は高い危険性を持ちます。
最初はTCPフォールバック(※)で、でかいデータや古くさいDNSならTCPも使うから(基本いまはUDPだけど)CONNECTメソッドで53番を不正中継するのはどうだ?とか思ったりもしましたが、まあないですかね。問題文があっさりしててよくわかりません。
※DNSでは、大きなデータを扱う場合にはTCPを使うことができる。DNSサーバは、応答メッセージが大きくなると、512バイトに情報を切り詰めて、TCビットをセットして応答を返す。これを受け取ったクライアントは、同じ問い合わせをTCPで行う。TCPでは、メッセージサイズの上限はないため、クライアントは確実に情報を受けとることができる。これがTCPフォールバック。
2022.02.13 00:32
キリマンジャロさん
(No.6)
GinSanaさん
知識量が段違いで感服しました。
TCPフォールバック高度情報とかで出そうですね。笑
勉強になりました。
知識量が段違いで感服しました。
TCPフォールバック高度情報とかで出そうですね。笑
勉強になりました。
2022.02.13 00:54
レックスさん
(No.7)
SSHしなくても改ざんする方法はある、という事ですね。
キリマンジャロさん、GinSanaさん、ご丁寧に、ありがとうごさいました。
キリマンジャロさん、GinSanaさん、ご丁寧に、ありがとうごさいました。
2022.02.13 13:55
GinSanaさん
★AP プラチナマイスター
(No.8)
キリマンジャロさん
TCPフォールバックは、ネスペの令和元年の午後2のDNS設定の注釈で指定されてましたが、TCPフォールバックは知っている前提なのか説明はなんもなかったです。DNSいじってないとわからねえだろうとか思いましたけど・・・。
支援士ではまず出ません。ギミック的な話は支援士はしなくなったので・・・。
TCPフォールバックは、ネスペの令和元年の午後2のDNS設定の注釈で指定されてましたが、TCPフォールバックは知っている前提なのか説明はなんもなかったです。DNSいじってないとわからねえだろうとか思いましたけど・・・。
支援士ではまず出ません。ギミック的な話は支援士はしなくなったので・・・。
2022.02.13 19:47
レックスさん
(No.9)
私が冒頭の質問をしたのは、
令和元年秋期 午後問1
https://www.ap-siken.com/kakomon/01_aki/pm01.html
の設問1(2)
が念頭にあったからです。
令和3年春期 午後問1の表1にも「業務時間外にログインされた形成が残っていた」との記載があります。
FWでDNSプロトコル以外遮断する設定にしていても、管理者権限であればログインできてしまう、という事のような気がしてきました。
令和元年秋期 午後問1
https://www.ap-siken.com/kakomon/01_aki/pm01.html
の設問1(2)
が念頭にあったからです。
令和3年春期 午後問1の表1にも「業務時間外にログインされた形成が残っていた」との記載があります。
FWでDNSプロトコル以外遮断する設定にしていても、管理者権限であればログインできてしまう、という事のような気がしてきました。
2022.02.13 22:06
GinSanaさん
★AP プラチナマイスター
(No.10)
>管理者権限であればログインできてしまう、という事のような気がしてきました。
SSHでrootで入りました、って感じで考えてますか?
ファイアウォールって、飛んでくるパケットを見て宛先IPアドレスとポート番号が何か?でどうするかを決めるものですよね。
権限がどうとかで変わるものじゃないですよ。
2022.02.14 11:09
レックスさん
(No.11)
>SSHでrootで入りました、って感じで考えてますか?
正にそう考えていました。
ご指摘ありがとうございます。
そうすると、私が考えた「もう一つの仮説」
---------------------------
攻撃者は、まず管理者権限でFWにログインし、権威DNSサーバに対するプロトコルの制限を解除し、
その後、権威DNSサーバにログインし、改ざんを行った。
---------------------------
というのも、非現実的でしょうか?
もしそれも違うなら、IPAの問題文及び解答例から読み取れる権威DNSサーバに関する事実
---------------------------
・DNSソフトウェアのバージョンが古く、管理者権限が奪取されるおそれがあった。
・インターネットから権威DNSサーバへのアクセスはDNSプロトコルだけに制限されていた。
・業務時間外にログインされた形跡が残っていた。
・権威DNSサーバ上の、R社のWebサーバのAレコードが別のサイトのIPアドレスに改ざんされていた。
---------------------------
をどう説明(理解)すれば良いのでしょうか?
2022.02.14 19:19
GinSanaさん
★AP プラチナマイスター
(No.12)
この投稿は投稿者により削除されました。(2022.02.14 20:14)
2022.02.14 20:14
GinSanaさん
★AP プラチナマイスター
(No.13)
この投稿は投稿者により削除されました。(2022.02.14 20:25)
2022.02.14 20:25
GinSanaさん
★AP プラチナマイスター
(No.14)
>攻撃者は、まず管理者権限でFWにログインし、権威DNSサーバに対するプロトコルの制限を解除し、
>その後、権威DNSサーバにログインし、改ざんを行った。
昔支援士の令和元年秋の午後2問1のマルウェアで、iptablesコマンドでファイアウォールに自分のマイニングポートへの妨害対策に
ドロップを仕込んだやつがいた
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm2_qs.pdf
P6の図3
ので、これみたいにiptablesでSSHを追加してからiptables -Dで戻したとかならできそうです・・・が、今回のってlinuxとかのiptables(linux自体のファイアウォール機能)じゃなくてfortigateみたいなFWを別置きしているから、サーバからそれ(外部ファイアウォール)用のコマンドを打った可能性はあります。
何がそんなにわからんわからんいっているのか?というと、参照先の感染はサーバ自体だったからサーバにおいているFWに干渉できたけど、DMZなのはわかるけどサーバという明示がこの問題はないからそうFWへの干渉が効くか?がなんとも言えんのです。まず本家のサーバに入らないと話が進まないのですが、マルウェアのくだりでサーバにログインできちゃったよ、という体で話をしました。
FWのいじった跡は本文に書いてないので想像ですけど、まあそれをやってるケースも昔あったなと。
2022.02.14 20:25
レックスさん
(No.15)
GinSanaさん、色々とありがとうございました。
結局、権威DNSサーバにログインされた形跡はあるけど、それと改ざんの関係は不明、って事ですね。
少し微妙な問題ですね。
結局、権威DNSサーバにログインされた形跡はあるけど、それと改ざんの関係は不明、って事ですね。
少し微妙な問題ですね。
2022.02.14 22:53
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。