상세 컨텐츠

본문 제목

DNS 서버에 DDoS 공격을 허용하는 새로운 TsuNAME DNS 취약점 발견

국내외 보안동향

by 알약4 2021. 5. 7. 14:00

본문

 

 

New TsuNAME DNS bug allows attackers to DDoS authoritative DNS servers

 

공격자들이 TsuNAME로 알려진 새로운 DNS 취약점을 대규모 DDoS 공격의 증폭 벡터로 이용하여 권한(authoritative) DNS 서버를 공격할 수 있었던 것으로 나타났습니다.

 

DNS 서버는 웹 도메인을 IP 주소로 변환하고 특정 웹사이트에 접속을 시도할 때 일반 사용자의 웹 브라우저에서 쿼리하는 재귀 DNS 서버에 해당 정보를 전달합니다.

 

권한 DNS(Authoritative DNS) 서버는 일반적으로 정부 및 ISP, 전 세계 기술 대기업을 포함한 민간 조직에서 관리합니다.

 

DNS 쿼리를 이용하여 권한 서버에 DDoS 공격 실행해

 

TsuNAME DNS 취약점을 악용하는 공격자는 취약한 재귀 리졸버를 타깃으로 삼아 대량의 악성 DNS 쿼리를 통해 권한 서버를 과부하 상태로 만들 수 있게 됩니다.

 

연구원들은 보안 권고를 통해 아래와 같이 설명했습니다.

 

“TsuNAME 취약점에 취약한 리졸버는 순환 종속 레코드가 있는 권한 서버에 끊임없는 쿼리를 보낼 것입니다. 한 리졸버가 권한 서버를 과부화시킬 가능성은 낮지만, 반복적이고 양이 많은 취약한 재귀 리졸버의 효과가 모이면 가능할 것입니다.”

 

이러한 공격으로 인해 직접적인 영향을 받는 권한 DNS 서버가 중단될 수 있으며, 국가 코드 최상위 도메인 (ccTLD)가 공격을 받을 경우 전국적인 인터넷 중단 사태가 발생할 수 있습니다.

 

“TsuNAME 취약점이 특히 위험한 이유는 대규모 TLD 또는 ccTLD와 같은 중요한 인프라에 대한 DDoS 공격을 수행하는데 악용될 수 있다는 것입니다. 이로써 국가 서비스에 영향을 미칠 수 있게 됩니다.”

 

연구원에 따르면 Unbound, BIND, KnotDNS와 같은 유명 DNS 리졸버는 TsuNAME DNS 취약점에 영향을 받지 않습니다.

 

적용 가능한 완화 조치

 

우리는 .nz 트래픽에서 TsuNAME로 인한 트래픽이 50% 증가하는 것을 발견했습니다. 이는 실제 공격이 아닌 구성 오류로 인한 것이었습니다.”

 

또한 보고서에서는 순환 종속성이 잘못 구성된 도메인 2개로 인해 유입되는 DNS 트래픽이 10배 증가한 유럽 기반 ccTLD의 사례를 공개했습니다.

 

 

<이미지 출처 : https://tsuname.io/tech_report.pdf>

<EU 기반 ccTLD에 영향을 미치는 TsuNAME 이벤트>

 

 

 

다행히 TsuNAME 취약점을 완화할 수 있는 방법이 있는 것으로 나타났습니다. 루프 감지 코드를 포함시키고 순환 종속 레코드를 캐싱하는 방식으로 재귀 리졸버 소프트웨어를 변경하면 됩니다.

 

권한 서버 운영자들은 오픈소스 CycleHunter 툴을 사용하여 TsuNAME 공격을 완화할 수도 있습니다.

 

연구원들은 이미 CycleHunter를 통해 TLD 7개의 도메인 1.84억 건을 조사했으며, 대부분 잘못된 구성으로 인해 발생된 것으로 보이는 순환 종속 NS 기록 44개를 탐지해냈습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-tsuname-dns-bug-allows-attackers-to-ddos-authoritative-dns-servers/

https://tsuname.io/

https://tsuname.io/advisory.pdf

https://tsuname.io/tech_report.pdf

 

태그

관련글 더보기

댓글 영역