DNS 캐쉬 포이즈닝- 취약점 발견에 따른 긴급 보안패치 권고
vaccineking
2008-07-25

■ 개 요
o DNS에서 사용자의 요청을 처리하는 과정에 'DNS 캐쉬 포이즈닝(Cache Poisoning)'이 가능한 신규 보안취약점이 발견된바, 각급기관 보안담당자의 긴급 보완조치 요망


--------------------------------------------------------------------------------

■ 영향

o 해커는 취약한 DNS 시스템을 정상적인 DNS 요청에 대해 가짜로 응답토록 조작,

사용자가 인터넷 접속시 악의적인 웹사이트에 접속하게 하여 비밀번호, 이메일 등

중요자료 절취 가능



■ 취약한 시스템

o 구식 버전의 BIND 프로그램을 사용하는 DNS 시스템

* 다음의 '취약여부 수동 확인방법'에 따라 해 기관의 DNS를 점검 요망




--------------------------------------------------------------------------------

■ 취약여부 수동 확인방법

o 다음 방법으로 해 기관의 DNS 시스템에 대해 수동으로 점검

* DNS 프로그램이 설치된 시스템에서 'dig' 명령어 이용

- '$ dig @aaa.bbb.ccc.ddd +short porttest.dns-oarc.net TXT' 명령 입력

* aaa.bbb.ccc.ddd : 점검대상 DNS 시스템의 domain name 또는 IP 주소

1) 취약한 경우의 명령수행 결과
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "aaa.bbb.ccc.ddd is POOR: (숫자) queries in (숫자) seconds from 1 ports with std dev 0.00"

2) 취약하지 않은 경우의 명령수행 결과
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "IP-of-GOOD is GOOD: (숫자) queries in (숫자) seconds from 26 ports with std dev 17685.51"

o 또는, 'www.doxpara.com'에 접속, 화면 우측의 'Check My DNS' 버튼을 클릭하여 점검 결과를 확인




--------------------------------------------------------------------------------

■ 조치방법

o 사용중인 DNS별 최신버전의 BIND 프로그램으로 업데이트 실시

o BIND 프로그램 최신버전 설치전 임시조치로서 DNS 시스템의 '/etc/named.conf' 파일에 아래와 같이 추가하여 Recursive query 서비스를 신뢰할 수 있는 호스트로 제한

acl trust {
192.168.1.0/24;
};

options {
allow-recursion { trust; };
};

* 192.168.1.0/24 : 해 기관의 DNS 시스템에 접근이 허용된 IP 범위