공지사항

Home > 자료실 > 공지사항

view

공지사항
제목 [보안권고] DNS Cache Poisoning 취약점 보안 주의 권고
등록일 2020-11-18 조회수 10
첨부파일

□ 개요

○ 최근 DNS Cache Poisoning(캐시 오염)* 취약점이 발견되어 DNS 서버를 운영 중인 기관 및 기업의 보안강화 필요

 ※ DNS Cache Poisoning : 도메인 네임 서버(DNS)의 Resolver 캐시에 변조된 주소를 주입하여 사용자가 웹페이지 접속 시 공격자가 의도한 페이지로 접속을 유도하는 주소 변조 공격(파밍)

 ※ 관련기사 : DNS 캐시 오염 취약점 주의… DNS 서버 운영 기관·기업 보안 강화 필요 [데일리시큐, 2020. 11. 17]

 

□ 주요내용

○ (상세내용)

 - ICMP Outbound 오류 메시지가 허용된 DNS 서버에서 포트 스캔을 통해 캐시 메모리에 저장된 도메인의 주소 정보를 조작할 수 있는 취약점(CVE-2020-25705)

○ (영향을받는 제품 및 버전)

 - ICMP 오류 메시지가 허용된 DNS 서버(확인된OS, 11월 16일기준)

  · Linux 3.18-5.10

  · Windows Server 2019(버전 1809) 이상

  · MacOS 10.15 이상

  · FreeBSD 12.1.0 이상

○ (해결방안)

 - ICMP설정

  · ICMP 응답 비활성화(Outbound Destination Port Unreachable 메시지) · ICMP global rate limit 랜덤화

 - 질의 메시지 기밀성 강화

  · DNSSEC적용

  · 0x20 encoding

  · DNS Cookie

 - DNS 질의 Timeout 설정

  · 질의에 대한 Timeout을 1초 미만으로 짧게 설정

 

□ 기타

○ (참고사이트)

 - [뉴스기사] https://www.dailysecu.com/news/articleView.html?idxno=116644

 - 취약점 정보

  · https://www.cs.ucr.edu/~zhiyunq/SADDNS.html

  · https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35790

 - ICMP global rate limit 랜덤화 설정

  · https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b38e7819cae946e2edf869e604af1e65a5d241c5

 - DNSSEC적용

  · https://xn—3e0bx5euxnjje69i70af08bea817g.xn—3e0b707e/jsp/resources/dns/dnssecInfo/dnssecBind.jsp

 - 0x20 encoding

  · https://tools.ietf.org/html/draft-vixie-dnsext-dns0x20-00

 - DNS Cookie

  · https://tools.ietf.org/html/rfc7873

 - DNS 질의 Timeout 설정

  · https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/dns-clientresolution-timeouts

○ (연락처) 의료기관공동보안관제센터

 - email: cert@hisac.or.kr

 - Tel: 02-6360-6280