External DNS interaction

外部DNSインタラクション

Risk: potentially

説明

ユーザーが制御可能なパラメーターによって、サーバーサイドのDNSリクエストがトリガーされました。サーバーサイドを制御できること自体は脆弱性ではありません。しかし、これは潜在的に高リスクな脆弱性が存在する重大な兆候です。

攻撃者はこの機能を悪用して、リモートシステムにリクエストを送信し、DoS（Denial of Service）攻撃を実行したり、リモートから潜在的な脆弱性を悪用したりする可能性があります。また、外部のネットワークフィルタリングで保護されている内部システムにアクセスできる可能性もあります。

推奨事項

サーバーサイドでトリガーされるDNSリクエストは、意図された動作である可能性があります。サービスの目的を検討し、DDoS（Distributed Denial of Service）攻撃への加担や、リモートサービスとの通信などの潜在的なリスクを評価することを推奨します。

この機能が意図した動作ではない場合、可能であればサービスを無効化するか、許可されていないすべてのドメインをブロックするホワイトリストベースのフィルタリングを適用することを推奨します。

リンク

• CWE-918: Server-Side Request Forgery (SSRF)
• CWE-406: Insufficient Control of Network Message Volume (Network Amplification)

標準

• PCI_STANDARDS:
  • REQ_1_2
  • REQ_2_2
  • REQ_6_2
  • REQ_6_3
  • REQ_11_3
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213