서브타이틀
  • : 고객센터 > 보안 업데이트
  • 제목 DNS 캐시 포이즈닝 다중 취약점 보안업데이트 권고
    등록일 2009-06-21 오후 10:28:00

    (주)서브이즈 보안관리팀에서 알려 드립니다.

    이번 DNS 캐시 포이즈닝 다중 취약점관련 보안업데이트가 추가 되었습니다.

    □ 개요
    o DNS 캐시 포이즈닝이 가능한 신규 취약점들이 발견되어 DNS 관리자의 주의를 요함[1]
    o 본 취약점은 DNS에서 DNS transaction ID와 source port number를 부여할 때,
    예상하기 쉬운 임의의 값을 생성하기 때문에 발생함
    ※ 해당 신규 취약점들은 기존 알려진 내용을 기반으로 효율적인 공격이 가능하도록 함

    □ 해당시스템
    o 캐시/리졸빙 서버로 이용되는 각종 DNS 서버 시스템
    Cisco Systems, Inc.
    Debian GNU/Linux
    Infoblox
    Internet Software Consortium
    Juniper Networks, Inc.
    Microsoft Corporation
    Nominum
    Red Hat, Inc.
    Sun Microsystems, Inc.
    Wind River Systems, Inc. 등

    □ 영향
    o 공격자는 해당 취약점을 이용하여 DNS 쿼리 정보를 변경할 수 있음
    - 공격 성공 시, DNS 쿼리 데이터 변경, 삭제 등의 작업 가능
    (피싱, 악성코드 유포등에 악용될 수 있음)

    □ 해결 방안
    o 캐시/리졸빙 DNS 서버로 사용되는 시스템을 운영 중이라면, 해당 보안 취약점에 대비하고,
    시스템 성능 향상을 위하여 각 벤더사의 DNS 최신 버젼으로 업그레이드를 권고[2][3]

    o 패치가 어려울 경우, 신뢰할 수 있는 호스트에 대해서만 recursive query에 대한 응답이
    가능하도록 설정할 것을 권고

    o Recursion 기능이 필요하지 않을 경우, Disable(비활성화)시킬 것을 권고

    o 보안 장비(방화벽, 침입탐지시스템, 침입방지시스템 등), 네트워크 장비 등에서
    DNS 서비스를 사용 중이라면, 비활성화(disable) 시킬 것을 권고
    - 특히 BIND는 방화벽과 라우터에서 DNS 서비스로 자주 사용되기 때문에,
    만일 필요로 하지 않는 서비스라면, 비활성화 시킬 것을 권고

    □ 참조 사이트
    [1] http://www.kb.cert.org/vuls/id/800113
    [2] http://www.isc.org/index.pl?/sw/bind
    [3] http://www.microsoft.com/technet/security/Bulletin/MS08-037.mspx
    [4] http://www.securityfocus.com/brief/779

    [참고]
    1. F.A.Q

    o 캐시/리졸빙 DNS에서만 영향을 받나요?
    - 네, 해당 취약점은 캐시/리졸빙을 하지 않는 DNS에는 영향을 주지 않습니다.

    o 캐시 포이즈닝이란 무엇입니까?
    - DNS 프로토콜 자체의 취약성으로 캐시 DNS에 저장된 쿼리 정보가 위,변조되는 것을 말합니다.

    o 어떻게 취약한지 확인할 수 있나요?
    - 다음 명령 실행 결과 아래와 같은 응답을 받는다면, 취약하다고 볼 수 있습니다.

    1) 취약점 확인 방법 : 점검하고자 하는 도메인이 “aaa.bbb.ccc.ddd“인 경우
    $ dig @aaa.bbb.ccc.ddd +short porttest.dns-oarc.net TXT

    가. 취약점 존재 DNS 확인 결과 :
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "aaa.bbb.
    ccc.ddd is POOR: 26 queries in 4.0 seconds from 1 ports with std dev 0.00"

    나. 정상 DNS 확인 결과 :
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "IP-of-GOOD
    is GOOD: 26 queries in 2.0 seconds from 26 ports with std dev 17685.51"

    o 보안업데이트할 경우 다른 고려사항은 없나요?
    - 2008.7.25 현재 ISC BIND 계열 보안패치에서 성능저하 문제가 제기되고 있으니 BIND 계열
    보안패치를 적용하실 때는 이점을 고려하시기 바랍니다.
    ※참고사이트 : http://www.isc.org/index.pl?/sw/bind/bind-security.php

    □ (참조):인터넷침해사고대응지원센터
  • 다음글 [MS 보안업데이트]2009년 7월 MS 정기 보안업데이트 권고
    이전글 -