DNS 캐시 포이즈닝 다중 취약점 보안업데이트 권고
□ 개요
o DNS 캐시 포이즈닝이 가능한 신규 취약점들이 발견되어 DNS 관리자의 주의를 요함[1]
o 본 취약점은 DNS에서 DNS transaction ID와 source port number를 부여할 때,
예상하기 쉬운 임의의 값을 생성하기 때문에 발생함
※ 해당 신규 취약점들은 기존 알려진 내용을 기반으로 효율적인 공격이 가능하도록 함
□ 해당시스템
o 캐시/리졸빙 서버로 이용되는 각종 DNS 서버 시스템
Cisco Systems, Inc.
Debian GNU/Linux
Infoblox
Internet Software Consortium
Juniper Networks, Inc.
Microsoft Corporation
Nominum
Red Hat, Inc.
Sun Microsystems, Inc.
Wind River Systems, Inc. 등
□ 영향
o 공격자는 해당 취약점을 이용하여 DNS 쿼리 정보를 변경할 수 있음
- 공격 성공 시, DNS 쿼리 데이터 변경, 삭제 등의 작업 가능
(피싱, 악성코드 유포등에 악용될 수 있음)
□ 해결 방안
o 캐시/리졸빙 DNS 서버로 사용되는 시스템을 운영 중이라면, 해당 보안 취약점에 대비하고,
시스템 성능 향상을 위하여 각 벤더사의 DNS 최신 버젼으로 업그레이드를 권고[2][3]
o 패치가 어려울 경우, 신뢰할 수 있는 호스트에 대해서만 recursive query에 대한 응답이
가능하도록 설정할 것을 권고
o Recursion 기능이 필요하지 않을 경우, Disable(비활성화)시킬 것을 권고
o 보안 장비(방화벽, 침입탐지시스템, 침입방지시스템 등), 네트워크 장비 등에서
DNS 서비스를 사용 중이라면, 비활성화(disable) 시킬 것을 권고
- 특히 BIND는 방화벽과 라우터에서 DNS 서비스로 자주 사용되기 때문에,
만일 필요로 하지 않는 서비스라면, 비활성화 시킬 것을 권고
□ 참조 사이트
[1] http://www.kb.cert.org/vuls/id/800113
[2] http://www.isc.org/index.pl?/sw/bind
[3] http://www.microsoft.com/technet/security/Bulletin/MS08-037.mspx
[4] http://www.securityfocus.com/brief/779
[참고]
1. F.A.Q
o 캐시/리졸빙 DNS에서만 영향을 받나요?
- 네, 해당 취약점은 캐시/리졸빙을 하지 않는 DNS에는 영향을 주지 않습니다.
o 캐시 포이즈닝이란 무엇입니까?
- DNS 프로토콜 자체의 취약성으로 캐시 DNS에 저장된 쿼리 정보가 위,변조되는 것을 말합니다.
o 어떻게 취약한지 확인할 수 있나요?
- 다음 명령 실행 결과 아래와 같은 응답을 받는다면, 취약하다고 볼 수 있습니다.
1) 취약점 확인 방법:
$ dig @aaa.bbb.ccc.ddd +short porttest.dns-oarc.net TXT
가. 취약점 존재 DNS 확인 결과 :
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "aaa.bbb.
ccc.ddd is POOR: 26 queries in 4.0 seconds from 1 ports with std dev 0.00"
나. 정상 DNS 확인 결과 :
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "IP-of-GOOD
is GOOD: 26 queries in 2.0 seconds from 26 ports with std dev 17685.51"
2. 기타 문의사항
o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118
유효하지않음
invalid-file
invalid-file
invalid-file
리눅스생산시스템의보안관리_520.doc