複数のDNS実装におけるキャッシュポイズニングの脆弱性に関する対応について(ネットワーク製品)
1.概要
弊社ネットワーク製品の一部において、DNSサーバ機能に関する脆弱性が発見されました。この脆弱性によって、装置がDNSサーバ機能、および、DNSリレー機能を使用し、DNS情報をキャッシュする際に、悪意のある攻撃者から攻撃を受け、偽サイト・偽メールサーバ等に誘導される可能性があります。本脆弱の内容と対応策について通知致します。
2.内容
2-1.脆弱性の内容
悪意のある攻撃者が、DNSサーバ機能を使用した製品に対して、本脆弱性のキャッシュポイズニング攻撃を行うことにより、その製品へ偽DNS情報をキャッシュさせることができます。結果、その製品のDNS情報を使用しているノードが、偽サイト・偽メールサーバ等に誘導される可能性があります(フィッシング詐欺等への悪用の可能性あり)。また、DNSリレー機能を有した製品も、キャッシュポイズニング攻撃を受けた外部DNSサーバの偽DNS情報をノードにリレーしてしまう可能性があります。
本脆弱性はJVN(注1) より、「JVNVU♯800113 : 複数のDNS実装にキャッシュポイズニングの脆弱性」として報告されています。
http://jvn.jp/cert/JVNVU800113/
(注1)JVN:Japan Vulnerability Notes(脆弱性対策情報ポータルサイト)
2-2.影響を受ける製品/条件
2-2-1. 影響を受ける製品
DNS機能を搭載している下記製品が本脆弱性の影響を受ける可能性があります。
| ネットワーク
アプライアンス |
IPCOM S1000 / 1200 / 1400
シリーズ |
E10 / E20 / E25
E30L10 NF0013 ~ E30L10 NF0037 E30L11 NF0003 ~ E30L11 NF0037 E31L10 NF0011 ~ E31L10 NF0026 |
|---|---|---|
| IPCOM EX1000 SC / NW
IPCOM EX1200 SC / NW IPCOM EX2000 SC / NW / IN IPCOM EX2200 IN シリーズ |
E10L10 NF0001 ~ E10L10 NF0101
E10L20 NF0001 ~ E10L20 NF0101 E10L30 NF0001 ~ E10L30 NF0201 E10L40 NF0001 |
(注)なお、上記以外で本脆弱性の影響を受ける可能性がある製品については現在調査中です。対象となる製品が新たに確認された場合は、随時お知らせします。
2-2-2. 影響を受ける条件
2-2-1.項の製品においてDNSサーバ機能、および、DNSリレー機能を使用する際に、本脆弱性を受ける可能性があります。具体的には下記条件の時に影響を受ける可能性があります。
- 製品のDNSサーバ機能を使用した場合
- 製品のDNSリレー機能を使用し、かつ、リレー対象DNSサーバにおいて本脆弱性対処がなされていない場合
上記以外では本脆弱性の影響を受けることはありません。
2-3.本脆弱による影響
2-3-1.影響/復旧方法
本脆弱性に対する攻撃を受けた場合、製品のDNS情報を使用しているノードが、偽サイト・偽メールサーバ等に誘導される可能性があります。DNSサーバ機能・DNSリレー機能を停止させ、修正ファームへの入れ替え・DNSサーバの修正を行ってください。
2-3-2.本脆弱性の影響を受ける可能性
外部の悪意のある第三者が、対象となるIPCOMシリーズのDNSリクエストを特定した場合は、本脆弱性の影響を受ける可能性があります。
3.本脆弱性への対策
3-1.回避策
対象製品のDNSサーバ機能をお使いいただいている場合(→2-2-2.における1.の場合)、 完全な回避策はありません。また、対象製品においてDNSリレー機能を使用している場合(→2-2-2.における2.の場合)、リレー元のDNSサーバにおいて脆弱性対応をすることで回避可能です。
3-2.対策ファームウェアについて
以下の版数について対策版ファームウェアを提供します。下記以外で対象となる製品が新たに確認された場合は、随時提供します。
| 製品名 | 対処済版数 | 提供時期 |
|---|---|---|
| IPCOM S1000 / 1200 / 1400
シリーズ (注2) |
E30L10 NF0039
E30L11 NF0039 E31L10 NF0028 |
2008年11月25日提供済 |
| IPCOM EX1000 SC / NW
IPCOM EX1200 SC / NW IPCOM EX2000 SC / NW / IN IPCOM EX2200 IN シリーズ (注3) |
E10L30 NF0301
E10L40 NF0101 |
2008年9月23日提供済 |
(注2)IPCOM Sシリーズのファームウェアの入手については、ご購入いただいた販売会社、弊社営業担当にお問い合わせください。また、旧エディションからE30へのアップグレードの際には、コンフィグ情報の非互換等の注意点がありますので、合わせてご購入いただいた販売会社、弊社営業担当にお問い合わせください。
(注3)次の版数に関して本脆弱性対応をする際は、使用機能を確認の上E10L30,E10L40に版数を上げるようお願いします。
- IPCOM EX (E10L10 NF0001 ~ E10L10 NF0101、E10L20 NF0001 ~ E10L20 NF0101) E10L30、E10L40に関しては、下記URLにて無償で提供しています。
http://fenics.fujitsu.com/products/ipcom/support/update/info/
なお、インストールはお客様ご自身での作業となります。
また、弊社技術員によるインストールサービスも有償にて提供しております。
ご購入いただいた販売会社、または、弊社担当営業にお申し付けください。
お問い合わせ先
ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。
サービスビジネス本部
ネットワークビジネス推進統括部 ネットワークサービス推進部
Tel: 03-6424-6266(直通)
