GoogleやIBMなども利用するDNS転送ソフト「Dnsmasq」にDNS乗っ取りを可能にする脆弱性「DNSpooq」が報告される

オープンソースのDNS転送ソフトウェアである「Dnsmasq」で7つの脆弱性が見つかりました。Dnsmasqは大手メーカーに採用される人気ソフトウェアですが、発見された脆弱性が攻撃者に利用されれば、ユーザーが無意識のうちに悪意あるウェブサイトにリダイレクトされ情報流出につながるほか、DoS攻撃のターゲットになる可能性があるとのことです。

DNSPOOQ - JSOF
https://www.jsof-tech.com/disclosures/dnspooq/

DNSpooq bugs let attackers hijack DNS on millions of devices
https://www.bleepingcomputer.com/news/security/dnspooq-bugs-let-attackers-hijack-dns-on-millions-of-devices/

DNSpooq Flaws Allow DNS Hijacking of Millions of Devices | Threatpost
https://threatpost.com/dnspooq-flaws-allow-dns-hijacking-of-millions-of-devices/163163/

イスラエルを拠点とするセキュリティコンサルタントのJSOFは、2021年1月19日付けでDnsmasqに含まれる7つの脆弱性を公開しました。これら7つの脆弱性はまとめて「DNSpooq」と呼ばれています。

Dnsmasqは多数のメーカーがさまざまな目的で使用しているソフトウェアです。JSOFが調査で確認したDnsmasqの使用メーカーにはASUS・AT＆T・Cisco・DELL・ゼネラルエレクトリック・Google・Huawei・IBMといった大企業を多数含み、脆弱性の影響は多岐に及びます。

特にJSOFがその影響を懸念しているのが、DNSキャッシュポイズニングに利用される可能性があるCVE-2020-25684・CVE-2020-25685・CVE-2020-25686という3つの脆弱性。DNSキャッシュポイズニングは、攻撃者が偽の情報をDNSサーバに記憶させ、ユーザーを攻撃者が用意したウェブサイトに誘導するという手法です。ユーザーは気づかないうちに悪意ある偽サイトにアクセスし、個人情報を入力することになるので、フィッシング詐欺やマルウェアのインストールといった被害が生じる可能性があります。

「インターネットのブラウジングだけでなく、メールやSSH、リモートデスクトップ、RDPによるビデオおよび音声通話、ソフトウェアアップデートといった通信まで攻撃される可能性があります」とJSOFは述べています。

また7つの脆弱性のうち残り4つであるCVE-2020-25687・CVE-2020-25683・CVE-2020-25682・CVE-2020-25681はバッファオーバーフローの脆弱性であり、DoS攻撃や情報流出、リモートでのコード実行などにつながる可能性があるとのこと。

研究者は、DNSpooqを利用した攻撃は非常に簡単で、特別なツールを使わずに数秒から数分で実行できると説明します。加えて、研究者は多くのdnsmasqのサーバーが誤ってWANで公開されていることから、インターネット経由で直接攻撃が行えることも指摘しています。Shodan Searchによるとインターネットに公開状態となっているDnsmasqは記事作成時点で100万以上あり、ルーターやVPN、スマートフォン、タブレット、アクセスポイント、情報通信システム、モデムといったものが攻撃の危険にさらされているとのことです。

なお、JSOFはDNSpooqを利用した攻撃を防ぐ方法として、Dnsmasqを最新バージョン(2.83以降)へアップデートすることを推奨しています。