アクセス制限していたが、あまりに/ひどいことが起きているので、公開した。
1. ManagedDNS/awsdns
Route 53 - ConflictingDomainExists https://repost.aws/questions/QUd0v-k-9CQpqs_7s-WRWhZA/route-53-conflicting-domain-exists-subdomains-with-white-labeled-reusable-delegation-set
/name_server /public_host_zone /子ゾーンNS
ACM: amazon certificate manager を略したものとか。(まぎらわしい)
https://docs.aws.amazon.com/acm/index.html
Domain hijacking vulnerability in Route 53/Gandi
All your DNS were belong to us: AWS and Google Cloud shut down spying vulnerability
https://www.theregister.com/2021/08/06/aws_google_dns/
/wiz.io の指摘 : 起こるべくして起きた。
Amazon Route 53 を既存ドメインの DNS サービスとして使用する https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/MigratingDNS.html
1.1. 問題点
任意の名前のゾーンを登録できる。権利確認をしない。-- ToshinoriMaeno 2021-04-06 07:55:45
- 分かっているのは親子関係にあるゾーンは同居しないという制限だけだ。
/NS割当 https://gist.github.com/otsuka752/993b1851d5772f72c161effb6eb1a23e
- otsuka752/list_ns-of-R53
1.2. 警告
Deleting a public hosted zone https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html
In addition, if you delete a hosted zone, someone could hijack the domain and route traffic to their own resources using your domain name.
ホストゾーンを削除すると、他のユーザーがお客様のドメイン名を使用してドメインをハイジャックし、自分のリソースにトラフィックをルーティングする可能性があります。
1.3. awsdns は乗取られ易い
(まとめ) lame delegationを作ってはいけない。自信がなければ、awsdnsは利用しないことです。
ゾーンを作っていないNSサーバーに委譲していると、乗取られる(可能性がある)。
- awsdnsの利用をやめたときに、ゾーンは削除するが、委譲は残ったままで放置されることが多いらしい。(なぜか)
簡単な対策があるのに、業者は実施していない。
- たとえば、ゾーン作成時にはTLDにおける委譲のないことを検査することなどです。
-- ToshinoriMaeno 2020-02-01 07:25:24
ドメイン名の権利確認を行うのが望ましいが、テスト的にゾーン作成するときに手間が増えるかも。
1.4. wwwゾーンへの委譲はダメ
www.kaiyodai-sip.com. 172800 IN NS ns-1420.awsdns-49.org. www.kaiyodai-sip.com. 172800 IN NS ns-1839.awsdns-37.co.uk. www.kaiyodai-sip.com. 172800 IN NS ns-239.awsdns-29.com. www.kaiyodai-sip.com. 172800 IN NS ns-765.awsdns-31.net.
1.5. 乗取の判別
1.5.1. 4NS でない場合
5こ以上を登録している場合、それだけで脆弱だろうと推測できる。(例外はある)
- REFUSEDを返すものが含まれているか。 返事をするものは同一の返事か。(複数が返事の場合)
-- ToshinoriMaeno 2020-01-11 11:58:39
1.6. NXDOMAIN 返答
DNS/RFC/8020 NXDOMAIN返答にご用心。 watchA/awsdns/aist.go.jp watchA/awsdns/nicovideo.jp