‘DNSpooq’ 취약점, 공격자가 기기 수백만 대의 DNS를 하이재킹하도록 허용해

 

 

DNSpooq bugs let attackers hijack DNS on millions of devices

 

이스라엘의 보안 컨설팅 회사인 JSOF가 DNSmasq 취약점 7개를 공개했습니다. 합쳐서 ‘DNSpooq’로 명명된 이 취약점은 취약한 기기 수백만 대를 타깃으로 DNS 캐시 포이즈닝, 원격 코드 실행, 서비스 거부(DoS)공격 등을 실행하는데 악용될 수 있습니다.

 

DNSmasq는 인기있는 오픈소스 DNS 포워딩 소프트웨어로 보통 IoT를 포함한 다양한 임베디드 장치에 DNS 캐싱 및 DHCP(Dynamic Host Configuration Protocol) 서버 기능을 추가하는데 사용됩니다.

 

DNSpooq 공격에 취약한 DNSmasq 버전을 사용하는 회사의 전체 수 또는 이름은 아직까지 알려지지 않은 상태입니다.

 

하지만 JSOF는 권고를 통해 Android/Google, Comcast, Cisco, Redhat, Netgear, Qualcomm, Linksys, Netgear, IBM, D-Link, Dell, Huawei, Ubiquiti를 포함한 업체 40곳의 목록을 공개했습니다.

 

DNSpooq 취약점

 

DNSpooq 취약점 3개 (CVE-2020-25686, CVE-2020-25684, CVE-2020-25685)는 DNS 캐시 포이즈닝 공격(DNS 스푸핑)을 모두 허용합니다.

 

DNS 캐시 포이즈닝 공격은 공격자가 기기 내 정식 DNS 기록을 마음대로 바꿔치기 하는 것입니다.

 

공격자들은 이 공격을 통해 사용자를 자신이 제어하는 악성 서버로 이동시킬 수 있으며, 방문자는 정식 사이트에 방문하고 있다고 착각하게 됩니다.

 

공격자는 이를 통해 신뢰받는 회사의 이름으로 피싱 공격, 크리덴셜 탈취, 악성코드 배포 등을 실행할 수 있습니다.

 

 

<이미지 출처: https://www.jsof-tech.com/disclosures/dnspooq/>

<DNS 스푸핑>

 

 

“침투 가능한 트래픽에는 일반적인 인터넷 브라우징 뿐만 아니라 이메일, SSH, 원격 데스크톱, RDP 영상 및 음성 전화, 소프트웨어 업데이트 등 다른 트래픽 유형 또한 포함됩니다.”

 

또한 가상 공격 시나리오에는 네트워크를 정기적으로 전환하는 악성 모바일 기기에 적용 가능한 자바스크립트 기반 DDoS, 역 DDoS 및 웜 공격이 포함됩니다.

 

나머지는 CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681으로 등록된 버퍼 오버플로우 취약점으로 공격자가 DNSmasq가 DNSSEC을 사용하도록 구성된 취약한 네트워킹 장비에서 임의 코드를 원격으로 실행하도록 허용할 수 있습니다.

 

취약한 기기 백만 대 이상 노출돼

 

DNSpooq 보안 취약점을 악용한 공격은 실행하기 꽤 쉬운 편이며, 흔하지 않은 기술이나 툴이 필요하지 않습니다.

 

JSOF는 기술 논문[PDF]에서 아래와 같이 설명했습니다.

 

“이 공격은 몇 초, 또는 몇 분 안에 성공시킬 수 있으며 특수한 요구사항이 없습니다.”

 

“또한 DNSmasq의 많은 인스턴스가 WAN 인터페이스에서 잘못 구성되어 있어, 인터넷에서 직접 공격을 실행 가능하다는 것을 발견했습니다.”

  

Shodan에 따르면, 현재 DNSmasq 서버 백만 대 이상이 인터넷에 노출되어 있는 것으로 나타났습니다.

 

“DNSpooq 취약점 중 일부는 DNS 캐시 포이즈닝을 허용하고, DNSpooq취약점 중 하나는 잠재적 원격 코드 실행을 허용하기 때문에 수 많은 브랜드의 홈 라우터 및 기타 네트워킹 장비를 장악할 수 있습니다.”

 

완화 조치

 

DNSpooq 취약점을 악용하려는 공격을 완화하기 위해 JSOF는 DNSmasq 소프트웨어를 최신 버전 (2.83 또는 이후 버전)으로 업데이트할 것을 권장했습니다.

 

하지만 DNSmasq를 즉시 업데이트할 수 없는 경우 부분적으로 적용할 수 있는 대체 해결 법을 공유했습니다.

 

- 필요하지 않을 경우, DNSmasq가 WAN 인터페이스를 리스닝 하지 않도록 구성하기
- option--dns-forward-max=를 통해 포워딩 되도록 허가된 최대 쿼리를 줄이기
 기본 설정은 150이지만, 더욱 낮출 수 있습니다.
- 패치를 적용하기 전 까지 DNSSEC 인증 옵션을 임시로 비활성화 하기
- DNS용 전송 보안을 제공하는 프로토콜(DoT 또는 DoH) 사용하기
 이로써 DNSpooq를 완화할 수 있지만, 다른 보안 및 개인정보에 영향을 미칠 수 있습니다. 이 작업을 실행하기 전 사용자의 설정, 보안 목표, 위험 등을 고려하시기 바랍니다.
- EDNS 메시지의 최대 크기 줄이기
 이로써 일부 취약점을 완화시킬 수 있습니다. 하지만 이 방법은 테스트되지 않았으며 RFC5625 권장 사항에 위배됩니다.

  

 

 

출처:

https://www.bleepingcomputer.com/news/security/dnspooq-bugs-let-attackers-hijack-dns-on-millions-of-devices/

https://www.jsof-tech.com/disclosures/dnspooq/

https://www.jsof-tech.com/wp-content/uploads/2021/01/DNSpooq_Technical-Whitepaper.pdf