← 戻る
概要
github.com/coredns/coredns に 認証バイパス (CVE-2026-35579) が存在。悪用されるとシステム全体を乗っ取られる可能性があります。``tsigStatus`` 経由で攻撃可能。対策: `1.14.3` 以上に更新。
AI要約 openai / gpt-4o
CoreDNSのシステムに、悪意ある攻撃者がTSIG認証をすり抜けることができる重大な問題があります。この脆弱性を利用されると、ドメイン情報の不正操作や不正なデータ更新が行われるリスクがあります。この問題は、システムをバージョン1.14.3にアップデートすることで解決できます。過去にはこういった認証問題が原因で、重要なデータが盗まれる事例もあります。早急な対応が必要です。
攻撃者は、CoreDNS上のgRPCおよびQUICトランスポートにおいて、TSIGキー名の存在のみを確認しHMACを検証しない不備を利用して認証を回避できます。また、DoHおよびDoH3トランスポートでは、TSIG認証が全く行われないため、任意のTSIGレコードが認証済みとして受理されてしまいます。この脆弱性による影響を受けるバージョンは1.14.2以下で、修正されたバージョンは1.14.3です。攻撃検出は、ディスクライブしたgRPCまたはQUICの不正なリクエストパターンを監視し、異常なアクセス活動を記録することで行うことができます。
❓ 何が問題か
github.com/coredns/coredns に **認証バイパス** (CWE-287) があります。攻撃者は ``tsigStatus`` を経由して脆弱な処理に到達し、認証なしで悪用できます。
📍 影響範囲
github.com/coredns/coredns のうち 影響範囲: `< 1.14.3`。攻撃箇所: `tsigStatus` / `server_grpc.go` / `server_quic.go` / `https.go`。
🔥 重要度
重要度: 最重要 (CVSS 9.8/10)。悪用されるとシステム全体を乗っ取られる可能性があります
🔧 修正方法
**1.14.3** に更新してください。(修正前: `< 1.14.3` 該当バージョンが本番稼働中なら直ちに更新計画を立案)
🛡️ 暫定回避
暫定回避: - Disable gRPC, QUIC, DoH, and DoH3 listeners where TSIG authentication is required.
🔍 検知方法
Webサーバ・プロキシ・WAFログで該当CVEのIOCに合致する不審リクエストを検索。SBOM/依存ファイルで影響バージョンを横断確認。
類似する過去の事例 過去のCVE/インシデントから類似事例を抽出
A Windows DNS Server Remote Code Execution Vulnerability related to improper handling of DNS responses.
Citrix ADC and Gateway TSIG authentication bypass, allowing for possible remote code execution.
A vulnerability in Infoblox NIOS that allowed TSIG Key Misvalidation.
もし自社で起きたら 業務シナリオごとの想定影響
📌 In an enterprise environment with large scale DNS management.
Attackers may exploit the vulnerability to perform unauthorized zone transfers, leading to potential exposure of proprietary information.
📌 In a cloud service provider offering DNS services.
Clients may lose trust in the service due to potential unauthorized DNS modifications affecting service reliability.
📌 For organizations hosting their own DNS infrastructure using CoreDNS.
Critical domain settings might be tampered with, resulting in service disruption or data leaks.
推奨アクション
Immediately update CoreDNS to version 1.14.3 to mitigate the vulnerability.
対応アクション (7段階)
SOC/SREチームが順番に実行すべき具体的なステップとコマンド例
-
1影響範囲の特定 identify
grep -r 'github.com/coredns/coredns' . | grep -v node_modulesリポジトリと本番環境の依存ファイル (package-lock.json / requirements.txt / go.sum / Gemfile.lock 等) で `github.com/coredns/coredns` を grep し、稼働しているサービス・バージョンを把握する。
-
2バージョン照合 verify
Confirm if version satisfies `< 1.14.3`Step 1 で見つかったバージョンが影響範囲 `< 1.14.3` に該当するか照合。本番で稼働中ならインシデント扱い。
-
5暫定回避策の適用 mitigate
- Disable gRPC, QUIC, DoH, and DoH3 listeners where TSIG authentication is required.パッチが適用されるまでの応急処置として、- Disable gRPC, QUIC, DoH, and DoH3 listeners where TSIG authentication is required. を実施。回避策の副作用 (機能低下) を確認した上で。
-
6パッチ適用 patch
Upgrade github.com/coredns/coredns to 1.14.3ステージング環境で 1.14.3 に上げて回帰テスト → 本番反映。回帰テストはアプリの主要ハッピーパスと、Step 3 で見つけた異常検知の続報チェックを含めること。
-
7事後検証 verify
Confirm patched version is live in productionパッチ適用後、ステージングで PoC または同等の悪用パターンを再現して脆弱性が閉じたことを確認。本番では Step 3 と同じログクエリでアラート再発が無いか継続監視。
影響パッケージ
go
github.com/coredns/coredns
[{"type":"SEMVER","events":[{"introduced":"0"},{"fixed":"1.14.3"}]}]