□ 개요
o 최근 DNS Cache Poisoning(캐시 오염) 취약점이 발견되어 DNS 서버를 운영 중인 기관 및 기업의 보안강화 필요
※ DNS Cache Poisoning : 도메인 네임 서버(DNS)의 Resolver 캐시에 변조된 주소를 주입하여 사용자가 웹페이지 접속 시 공격자가 의도한 페이지로 접속을 유도하는 주소 변조 공격(파밍)
□ 설명
o ICMP Outbound 오류 메시지가 허용된 DNS 서버에서 포트 스캔을 통해 캐시 메모리에 저장된 도메인의 주소 정보를 조작할 수 있는 취약점(CVE-2020-25705) [1]
□ 영향을 받는 제품(확인된 OS, 11월 16일 기준)
o ICMP 오류 메시지가 허용된 DNS 서버
- 리눅스(Linux) 3.18-5.10
- 윈도우 서버(Windows Server) 2019(버전 1809) 이상
- 맥OS(MacOS) 10.15 이상
- 프리BSD(FreeBSD) 12.1.0 이상
□ 해결 방안
o ICMP 설정
- ICMP 응답 비활성화(Outbound Destination Port Unreachable 메시지)
- ICMP global rate limit 랜덤화 [2]
※ Outbound ICMP 차단 시 네트워크 진단 기능 상실로 인한 잠재적 비용이 발생할 수 있음
o 질의 메시지 기밀성 강화
- DNSSEC 적용 [3]
- 0x20 encoding [4]
- DNS Cookie [5]
o DNS 질의 Timeout 설정 [6]
- 질의에 대한 Timeout을 1초 미만으로 짧게 설정
□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번 없이 118
[참고사이트]
[1] https://www.cs.ucr.edu/~zhiyunq/SADDNS.html
[2] https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b38e7819cae946e2edf869e604af1e65a5d241c5
[3] https://xn—3e0bx5euxnjje69i70af08bea817g.xn—3e0b707e/jsp/resources/dns/dnssecInfo/dnssecBind.jsp
[4] https://tools.ietf.org/html/draft-vixie-dnsext-dns0x20-00
[5] https://tools.ietf.org/html/rfc7873
[6] https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/dns-client-resolution-timeouts
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
'+ Security > 보안 권고문(공지문)' 카테고리의 다른 글
| [보안공지] VMware 제품군 보안 주의 권고 (0) | 2020.11.27 |
|---|---|
| [보안공지] 랜섬웨어 감염 확산에 따른 기업 보안점검 권고 (0) | 2020.11.23 |
| [보안공지] Apple(애플) 제품군 보안 업데이트 권고 (0) | 2020.11.18 |
| [보안공지] 마이크로소프트(MS) 11월 보안 위협에 따른 정기 보안 업데이트 권고 (0) | 2020.11.13 |
| [보안공지] 아이폰(iPhone) 대상 네이버(Naver) 계정탈취 스미싱 문자 주의 권고 (0) | 2020.11.10 |
댓글