DNS 캐시 포이즈닝 다중 취약점 보안업데이트 권고 (2008.08.06)
안녕하세요, 카페24 호스팅센터입니다.
DNS 캐시 포이즈닝이 가능한 신규 취약점들이 발견되어 DNS 관리자의 주의를 요합니다.
1. 취약점 상세 내용
취약점 정보
- 취약점 유형: DNS 캐시 포이즈닝
- 영향받는 제품: 캐시/리졸빙 서버로 이용되는 각종 DNS 서버 시스��템
- 심각도: 높음
취약점 설명
- DNS 캐시 포이즈닝: DNS에서 DNS transaction ID와 source port number를 부여할 때, 예상하기 쉬운 임의의 값을 생성하기 때문에 발생
- 해당 신규 취약점들: 기존 알려진 내용을 기반으로 효율적인 공격이 가능하도록 함
영향받는 시스템
- 캐시/리졸빙 서버로 이용되는 각종 DNS 서버 시스템:
- Cisco Systems, Inc.
- Debian GNU/Linux
- Infoblox
- Internet Software Consortium
- Juniper Networks, Inc.
- Microsoft Corporation
- Nominum
- Red Hat, Inc.
- Sun Microsystems, Inc.
- Wind River Systems, Inc. 등
2. 보안 조치 권고사항
영향 및 공격 시나리오
- 공격자 행위: 해당 취약점을 이용하여 DNS 쿼리 정보를 변경할 수 있음
- 공격 성공 시: DNS 쿼리 데이터 변경, 삭제 등의 작업 가능 (피싱, 악성코드 유포등에 악용될 수 있음)
해결 방안
- 캐시/리졸빙 DNS 서버: 해당 보안 취약점에 대비하고, 시스템 성능 향상을 위하여 각 벤더사의 DNS 최신 버젼으로 업그레이드를 권고
- 패치가 어려울 경우: 신뢰할 수 있는 호스트에 대해서만 recursive query에 대한 응답이 가능하도록 설정할 것을 권고
- Recursion 기능이 필요하지 않을 경우: Disable(비활성화)시킬 것을 권고
- 보안 장비 등에서 DNS 서비스 사용 중: 비활성화(disable) 시킬 것을 권고
- 특히 BIND는 방화벽과 라우터에서 DNS 서비스로 자주 사용되기 때문에, 만일 필요로 하지 않는 서비스라면, 비활성화 시킬 것을 권고
즉시 조치사항
- 영향받는 DNS 서버를 사용 중인 경우, 즉시 최신 버전으로 업그레이드하시기 바랍니다.
- 공격자가 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 지연 없이 보안 업데이트를 적용하시기 바랍니다.
3. 참고사항
취약점 확인 방법
- 취약점 확인 방법: 점검하고자 하는 도메인이 "aaa.bbb.ccc.ddd"인 경우
$ dig @aaa.bbb.ccc.ddd +short porttest.dns-oarc.net TXT - 취약점 존재 DNS 확인 결과:
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "aaa.bbb.ccc.ddd is POOR: 26 queries in 4.0 seconds from 1 ports with std dev 0.00" - 정상 DNS 확인 결과:
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "IP-of-GOOD is GOOD: 26 queries in 2.0 seconds from 26 ports with std dev 17685.51"
문의처
- 한국인터넷진흥원 사이버민원센터: 국번없이 118
참고사이트
더 나은 서비스를 제공하기 위해 항상 노력하겠습니다.
감사합니다.