ISC BINDに対する攻撃 2019/11/24

ふと、ファイヤーウォールのログ画面に目をやると、通常とは異なる速さで行がスクロールしていることに気が付きました。名前解決のパケットのようです。
サーバーはWebサーバー、DNSサーバーを兼用しているので、DNSへのリクエストが発生することは普通なのですけど、私のWebサーバー規模からすると不必要な数のリクエストパケットが到着しているように見えます。

(このメモを書いた後で気付いたのですが、2年前にも同様の攻撃をメモしていました。)

Nov 24 13:55:15 server kernel: ipfw: 3504 Accept UDP 139.59.235.100:14907 116.58.172.107:53 in via tun0
Nov 24 13:55:15 server kernel: ipfw: 3504 Accept UDP 174.138.20.202:45103 116.58.172.107:53 in via tun0
Nov 24 13:55:15 server kernel: ipfw: 3504 Accept UDP 157.230.255.25:55872 116.58.172.107:53 in via tun0
Nov 24 13:55:15 server kernel: ipfw: 3504 Accept UDP 167.71.195.241:48803 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 167.71.195.152:39296 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 188.166.217.243:18295 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 139.59.235.100:14907 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 178.128.25.243:65015 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 167.71.195.241:48803 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 68.183.229.6:13564 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 128.199.167.2:49977 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 139.59.230.108:38271 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 167.71.205.207:48223 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 139.59.227.173:37012 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 167.71.205.207:48223 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 68.183.238.192:35077 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 167.71.206.157:40674 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 167.71.195.150:25055 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 139.59.230.108:38271 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 188.166.231.76:26759 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 167.71.195.241:48803 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 68.183.229.6:13564 116.58.172.107:53 in via tun0
Nov 24 13:55:16 server kernel: ipfw: 3504 Accept UDP 157.230.255.25:21659 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 188.166.217.166:57625 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 178.128.30.93:28859 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 157.230.255.25:55872 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 188.166.217.233:33487 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 188.166.241.124:61649 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 188.166.217.230:10506 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 188.166.231.76:26759 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 68.183.229.6:41468 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 167.71.195.241:48803 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 139.59.235.100:14907 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 139.59.230.108:38271 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 167.71.205.210:46066 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 68.183.229.6:13564 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 167.71.205.210:49238 116.58.172.107:53 in via tun0
Nov 24 13:55:17 server kernel: ipfw: 3504 Accept UDP 188.166.217.166:57625 116.58.172.107:53 in via tun0

named のセキュリティーログを見てみると、以下のように大量の deny ログが残っています。

24-Nov-2019 13:55:14.754 security: client @0x802cfd200 128.199.144.8#27585 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:14.759 security: client @0x802cfd200 157.230.247.29#40405 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:14.815 security: client @0x802cfd200 188.166.217.243#18295 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:14.817 security: client @0x802cfd200 68.183.238.192#45801 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:14.864 security: client @0x802cfd200 128.199.188.4#44593 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:14.869 security: client @0x802cfd200 174.138.20.202#45103 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:15.210 security: client @0x802cfd200 167.71.195.151#49199 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:15.257 security: client @0x802cfd200 174.138.20.202#45103 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:15.326 security: client @0x802cfd200 128.199.144.8#27585 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:15.390 security: client @0x802cfd200 167.71.195.152#39296 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:15.405 security: client @0x802cfd200 188.166.217.243#18295 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:15.421 security: client @0x802cfd200 128.199.188.4#44593 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:15.648 security: client @0x802cfd200 139.59.235.100#14907 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:15.758 security: client @0x802cfd200 174.138.20.202#45103 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:15.810 security: client @0x802cfc400 157.230.255.25#55872 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:15.836 security: client @0x802cfd200 167.71.195.241#48803 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:15.991 security: client @0x802cfd200 167.71.195.152#39296 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:15.998 security: client @0x802cfd200 188.166.217.243#18295 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.237 security: client @0x802cfd200 139.59.235.100#14907 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.259 security: client @0x802cfd200 178.128.25.243#65015 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.390 security: client @0x802cfd200 167.71.195.241#48803 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.436 security: client @0x802cfd200 68.183.229.6#13564 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.444 security: client @0x802cfd200 128.199.167.2#49977 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.464 security: client @0x802cfd200 139.59.230.108#38271 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.583 security: client @0x802cfd200 167.71.205.207#48223 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.634 security: client @0x802cfd200 139.59.227.173#37012 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.650 security: client @0x802cfd200 167.71.205.207#48223 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.727 security: client @0x802cfd200 68.183.238.192#35077 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.761 security: client @0x802cfd200 167.71.206.157#40674 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.770 security: client @0x802cfd200 167.71.195.150#25055 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.789 security: client @0x802cfd200 139.59.230.108#38271 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.903 security: client @0x802cfd200 188.166.231.76#26759 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.945 security: client @0x802cfd200 167.71.195.241#48803 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied
24-Nov-2019 13:55:16.950 security: client @0x802cfd200 68.183.229.6#13564 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' denied

適切にブロックされているようなのでサービスへの害はないと思われますが、ログファイルがあっという間に大量のメッセージに埋め尽くされてしまいます。
クライアントのアドレスがコロコロ変わっているので、おそらく送信元アドレスを偽ったリフレクター攻撃だと思いますが、何が目的?

そういえば、先日、JPCERTからBINDの脆弱性に関するメールが届いていたことを思い出しました。

今回の現象が以下の脆弱性を狙ったものかどうかは分かりませんが、迷惑な話です。

                                                   JPCERT-AT-2019-0043
                                                             JPCERT/CC
                                                            2019-11-21
 
                  <<< JPCERT/CC Alert 2019-11-21 >>>

               ISC BIND 9 の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2019/at190043.html


I. 概要
ISC BIND 9 には、TCP パイプラインに関する脆弱性があります。脆弱性を悪
用された場合、リモートからの攻撃によって、システムリソースを過度に消
費し、結果として named が一時的に停止したり、サービスの品質の低下が
発生する可能性があります。
なお、ISC は、脆弱性 CVE-2019-6477 に対する深刻度を「中 (Medium)」と評
価しています。脆弱性の詳細については、ISC の情報を確認してください。

    Internet Systems Consortium, Inc. (ISC)
    CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit
    https://kb.isc.org/docs/cve-2019-6477

影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」
を参考に、修正済みバージョンの適用について検討してください。

さて、どう対策したものか?

IPアドレス一個一個を調べるのは面倒くさいので、送信元アドレスから、送信元ネットワークを調べて、送信元ネットワークからnamedへのアクセスを全部ブロックすることにしました。ファイヤーウォールのログは増え続けますが、namedのログは正常に戻すことができました。

応答パケットは本当の送信元(攻撃者)には戻らないため、私がブロックしていることにしばらく気付かないでしょう。

うっとうしいったらありゃしない。

コメントを残す