국가 사이버 안전센터는 아래와 같은 긴급 패치 권고를 하였습니다. 시스템관리자나 보안 관리자분들은 조속히 대처를 하셔야 겠습니다.
지난달에거 adobe flash 취약점으로 인하여 여러 좀비 싸이트가 감염된 경우가 있습니다. 긴급 패치 권고가 나오면 반드시 확인 해 보시야 겠습니다.
================================================================================================
■ 개 요
o DNS에서 사용자의 요청을 처리하는 과정에 'DNS 캐쉬 포이즈닝(Cache Poisoning)'이 가능한 신규 보안취약점이 발견된바, 각급기관 보안담당자의 긴급 보완조치 요망
■ 영향
o 해커는 취약한 DNS 시스템을 정상적인 DNS 요청에 대해 가짜로 응답토록 조작, 사용자가 인터넷 접속시 악의적인 웹사이트에 접속하게 하여 비밀번호, 이메일 등 중요자료 절취 가능
■ 취약한 시스템
o 구식 버전의 BIND 프로그램을 사용하는 DNS 시스템
* 다음의 '취약여부 수동 확인방법'에 따라 해 기관의 DNS를 점검 요망
■ 취약여부 수동 확인방법
o 다음 방법으로 해 기관의 DNS 시스템에 대해 수동으로 점검
* DNS 프로그램이 설치된 시스템에서 'dig' 명령어 이용
- '$ dig @aaa.bbb.ccc.ddd +short porttest.dns-oarc.net TXT' 명령 입력
* aaa.bbb.ccc.ddd : 점검대상 DNS 시스템의 domain name 또는 IP 주소
1) 취약한 경우의 명령수행 결과
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "aaa.bbb.ccc.ddd is POOR: (숫자) queries in (숫자) seconds from 1 ports with std dev 0.00"
2) 취약하지 않은 경우의 명령수행 결과
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "IP-of-GOOD is GOOD: (숫자) queries in (숫자) seconds from 26 ports with std dev 17685.51"
o 또는, 'www.doxpara.com'에 접속, 화면 우측의 'Check My DNS' 버튼을 클릭하여 점검 결과를 확인
■ 조치방법
o 사용중인 DNS별 최신버전의 BIND 프로그램으로 업데이트 실시
o BIND 프로그램 최신버전 설치전 임시조치로서 DNS 시스템의 '/etc/named.conf' 파일에 아래와 같이 추가하여 Recursive query 서비스를 신뢰할 수 있는 호스트로 제한
acl trust {
192.168.1.0/24;
};
options {
allow-recursion { trust; };
};
* 192.168.1.0/24 : 해 기관의 DNS 시스템에 접근이 허용된 IP 범위
이올린에 북마크하기
이올린에 추천하기트랙백 주소 :: http://www.sis.pe.kr/trackback/2126
-
Subject: DNS 캐시 포이즈닝 취약점 권고문
Tracked from Nchovy 인터넷 스톰 센터 2008/07/28 10:42 삭제<p>이미 ISP 단에서 적절한 조치를 취했으리라 생각하고 별달리 언급하진 않았습니다만, 오늘도 해외에서는 계속 업데이트가 올라오고 활발히 논의되는지라 국내에서도 한 번 정리해야 될 것 같다는 생각이 들었습니다.</p> <p>다들 아시다시피 DNS는 도메인을 IP 주소로 변환하는 책임을 지고 있으며 인터넷이 정상적으로 동작하는데 아주 핵심적인 역할을 맡고 있습니다. DNS 캐시 포이즈닝은 캐싱 네임서버의 캐시에 조작된 DNS 정보를 집어넣는 기법을..
댓글을 달아 주세요