New DNS vulnerability allows 'nation-state level spying' on companies
보안 연구원들이 주요 서비스형 DNS 제공 업체에 영향을 미치는 DNS 취약점의 새로운 클래스를 발견했습니다. 이 취약점은 공격자가 기업 네트워크로부터 민감 정보를 훔치도록 허용할 수 있는 것으로 나타났습니다.
서비스형 DNS 제공 업체(관리형 DNS 제공 업체)는 다른 네트워크 자산을 자체적으로 관리 및 보호하지 않는 다른 조직에게 DNS 임대 서비스를 제공합니다.
클라우드 보안 회사인 Wiz의 연구원들이 Black Hat 보안 컨퍼런스에서 밝힌 바로는, 이러한 DNS 취약점 악용할 경우 공격자가 간단한 도메인 등록 만으로도 국가 수준의 정보 수집이 가능할 수 있습니다.
도메인명 등록부터 무차별 트래픽 도청까지
악용 프로세스는 매우 간단합니다. 연구원들은 도메인을 등록하고 서비스형 DNS 제공 업체의 네임 서버(Amazon Route 53)를 하이잭했습니다. 이로써 Route 53 고객의 네트워크에서 스트리밍되는 동적 DNS 트래픽에 도청이 가능했습니다.
Wiz의 연구원은 아래와 같이 밝혔습니다.
"Amazon, Google과 같은 관리형 DNS 제공 업체를 통과하는 전 세계 동적 DNS 트래픽의 일부를 가로채도록 허용하는 매우 간단한 취약점을 발견했습니다. 우리가 '도청'한 동적 DNS 트래픽은 포츈 500대 기업, 미국 정부 기관 45곳, 국제 정부 기관 85곳을 포함하여 총 15,000개 이상의 조직으로부터 왔습니다."
이러한 방식으로 수집한 데이터는 직원/컴퓨터 이름, 위치, 인터넷에 노출된 네트워크 기기를 포함한 조직의 인프라 관련 민감 정보까지 다양했습니다.
연구원들은 기업 엔드포인트 4만 곳에서부터 받은 네트워크 트래픽을 사용하여 세계 최대 규모 서비스 회사 중 하나의 사무실 위치를 매핑하는데 성공했습니다.
연구원들은 발견된 DNS 취약점이 이전에 실제 공격에서 악용되었다는 증거는 찾지 못했지만, 해당 이슈를 파악하고 악용 가능한 기술이 있는 사람은 “10년 동안 탐지되지 않은 채로 데이터를 수집할 수 있었다”고 밝혔습니다.
"영향은 엄청났습니다. 조사한 주요 DNSaaS 제공업체 6곳 중 3곳이 네임서버 등록에 취약했습니다. DNSaaS를 제공하는 모든 클라우드 공급 업체, 도메인 등록 기관, 웹 사이트 호스트는 취약할 수 있습니다."
일부 업체만 취약점 수정해
주요 DNS 제공 업체 중 구글과 아마존만이 이 취약점을 수정했으며, 다른 업체는 여전히 이 공격에 취약해 장치 수백만 대를 공격에 노출시켰습니다.
게다가 이 치명적인 DNS 취약점을 수정해야하는 주체 또한 명확하지 않습니다. 마이크로소프트는 윈도우 엔드포인트에서 내부 네트워크 트래픽을 악성 DNS 서버로 유출할 수 있도록 허용하는 동적 DNS 알고리즘을 조정할 수 있지만, Wiz 측에 이 문제가 취약점이 아니라고 이미 밝힌 바 있습니다.
마이크로소프트는 이 취약점에 대해 “조직이 외부 DNS 확인자를 사용할 때 발생하는 잘못된 구성”이라 설명했습니다.
마이크로소프트는 DNS 충돌 및 네트워크 이슈를 방지하기 위해 내부 및 외부 호스트에 별도의 DNS 이름 및 영역을 사용하도록 권장했습니다. 또한 DNS 동적 업데이트를 올바르게 구성하는 방법을 담은 설명서를 제공했습니다.
관리형 DNS 업체는 RFC의 “예약된 이름” 사양을 올바르게 따르고, 고객이 도메인을 등록하도록 허용하기 전 소유권 및 도메인을 확인하여 네임 서버 하이재킹 이슈를 수정할 수 있습니다.
DNS 서버를 임대하는 회사는 기본 SOA(Start-of-Authority) 레코드를 수정해 내부 네트워크 트래픽이 동적 DNS 업데이트로 누출되는 것을 차단하도록 변경할 수 있습니다.
추가적인 정보와 기술적인 세부 사항은 지난 수요일 Wiz에서 발표한 보고서와 Black Hat의 프레젠테이션 슬라이드에서 확인할 수 있습니다.
출처:
PrintNightmare 제로데이 취약점 관련 무료 비공식 패치 공개 (0) | 2021.08.06 |
---|---|
패치되지 않은 취약점으로 Mitsubishi Safety PLC 원격 공격에 노출돼 (0) | 2021.08.06 |
TCP/IP 스택에서 INFRA:HALT 취약점 발견! (0) | 2021.08.05 |
새로운 Cobalt Strike 취약점으로 공격자의 서버 중단 가능해 (0) | 2021.08.05 |
APT31, 광범위한 사이버 스파이 공격에 새로운 스파이웨어 사용해 (0) | 2021.08.05 |
댓글 영역