Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향DNSMasq에서 DNS 캐시 포이즈닝 취약점 발견
작성일 2021-01-20 조회 79

dns security

DNS 캐싱에 사용되는 인기 오픈소스 소프트웨어인 DNSmasq에서 DNS Cache Poisoning과 악성코드의 원격 실행이 가능하도록 하는 취약점이 발견되었다.

 

이스라엘의 연구 회사인 JSOF에 의해 이름 지어진 DNSPooq 이라고 불리는 7가치 결함은 이전에 공개된 DNS 아키텍처의 약점을 이용하여 DNSmasq 서버를 무력화시킨다.

 

연구원들이 발간한 보고서에서 "DNSmasq가 오프패스 공격자(DNS Forwarder와 DNS 서버 간 통신을 관찰하지 않는 공격자)의 DNS 캐시 포이즈닝 공격에 취약하다는 사실을 발견했다"며, "우리의 공격은 한 번에 여러 도메인을 중독시킬 수 있으며, 공격은 특별한 요구사항 없이 몇초~분 안에 완료된다. 또한 많은 DNSmasq 인스턴스가 WAN 인터페이스에서 수산하도록 잘못 구성되어 인터넷에서 직접 공격이 가능하다는 사실도 알아냈다" 고 밝혔다.

 

DNS masquerade(가면극) 의 줄임말인 DNSmasq는 DNS 레코드를 로컬 캐싱하는 데 사용되는 DNS 포워딩 기능을 갖춘 경량 소프트웨어로, 업스트림 네임버에 대한 부하를 줄이고 성능을 향상시킨다.

 

JSOF는 스마트폰에 포함된 소프트웨어와 수백만 개의 라우터 및 기타 네트워킹 기기 등의 취약한 DNSmasq 인스턴스가 약 100만 개라고 밝혔다.

 

DNS 캐시 포이즈닝은 DNS의 근본적인 설계 결함을 이용한 공격으로, 가능한 트랜잭션 ID(TXID)가 65,536개 뿐이기 때문 발생한다. 트랜잭션 ID는 권위 있는 네임서버를 사칭한 악의적인 조작의 가능성을 차단하기 위해 도입됐다. 이 설정으로 DNS 확인자는 16비트 ID를 네임서버에 대한 요청에 첨부하여 동일한 ID로 응답을 다시 전송한다.

 

DNSMasq DNS Forwarder

[그림 1. DNS 캐시 포이즈닝 공격 과정]

 

그러나 공격자가 보낸 올바른 트랜잭션 ID를 가진 악의적인 응답이 권한 있는 서버의 응답 전에 도착하면 DNS 캐시가 효과적으로 중독되어 DNS 응답이 유효한 동안 정상적인 주소 대신 공격자가 선택한 IP 주소를 반환하게 된다.

 

이러한 공격은 전체 조회 프로세스가 인증되지 않아 권한 있는 서버의 신원을 확인할 방법이 없고, DNS 요청과 응답은 UDP 프로토콜을 사용하므로 회신을 스푸핑하기 쉽다는 점에 의해 고려되었다.

 

이러한 문제에 대응하기 위해, DNS 조회 및 응답에 53번 포트를 사용하는 것 뿐 아니라, 트랜잭션 ID와 함께 랜덤화된 UDP 포트를 두 번째 식별자로 사용함으로써, 트랜잭션 ID의 엔트로피를 상승시키고 공격자가 소스 포트와 트랜잭션 ID의 정확한 조합을 추측하는것이 실질적으로 불가능하게 되었다.

 

하지만 이러한 대응 방안도 지난해 11월 ICMP 속도 제한을 사이드 채널로 삼아 무작위화를 무효로 하는 SAD DNS(Side-channel AttackD DNS) 라는 이름의 공격에 의해 무력화되었다.

 

JSOF가 이번 보고서에서 기술한 DNS 캐시 포이즈닝 공격(CVE-2020-25684, CVE-2020-25685, CVE-2020-25686)은 응답 수용에 필요한 트랜잭션 ID와 소스 포트의 엔트로피를 감소시키는 것을 목적으로 한다는 점에서 SAD DNS와 유사성이 있다.

 

DNSmasq 버전 2.78~2.82는 위 3가지 취약점에 영향을 받는다.

 

DNSMasq DNS Forwarder

[그림 2. JSOF가 공개한 보고서 일부]

 

JSOF가 공개한 다른 4가지 취약점은 힙 기반 버퍼 오버플로우로, 취약한 장치에서 원격 코드 실행으로 이어질 수 있다.

 

연구원들은 "이러한 취약점은 그 자체로 리스크가 제한적이지만, 캐시 포이즈닝 취약점과 결합해 원격 코드 실행이 가능하기 때문에 위험하다"고 밝혔다.

 

이러한 위협을 해결하기 위해 DNSmasq 소프트웨어를 최신 버전(2.83 이상)으로 업데이트할 것을 적극 권장했다.

 

출처

https://thehackernews.com/2021/01/a-set-of-severe-flaws-affect-popular.html

첨부파일 첨부파일이 없습니다.
태그 dnsmasq  dns cache poisoning