2011년 11월 19일 토요일

DNS가 위험하다, BIND 제로데이(0-day) 취약점 발견


11월16일 DNS 서비스에 많이 사용되는 소프트웨어 중에 하나인 BIND 에 이유없는 서비스 Crash 가 발생하였다. 다음과 같은 로그를 발생시키면서 말이다.

general: critical: query.c:1895: INSIST(! dns_rdataset_isassociated(sigrdataset)) failed, back trace
general: critical: exiting (due to assertion failure)

여러 곳에서 이런 이슈가 제기되었고, BIND 의 제로데이 취약점으로 밝혀졌다.

실제 피해 사례가 보고되면서 ISC 에서는 발빠르게 보안패치를 제공하였다. 일단, 무엇보다도
원격지에서 조작된 패킷데이터를 통해 인터넷 인프라운영에 중요한 요소인 DNS 서비스를
이렇게 무력화 시킬 수 있다는 점에서 중대한 이슈이다.

해당 취약점의 영향은 서비스거부 이며,
BIND 9.4-ESV, 9.6-ESV, 9.7.x, 9.8.x 모든 버전이 해당된다. 하지만,
현재 이 버전외에도 영향을 받고 있다는 보고가 있으나 확실히 확인되지는 않고 있다.

패치는 2가지 부분을 업데이트 하는데,
필자가 9.5 버전대를 확인해 본 결과 두군데 파일 중 한 파일은 취약한 부분을 안고 있다.
캐쉬에서 불일치된 데이터 구성을 돌려주는 부분인데, 과연 두 부분 중
한군데 이슈만으로 데몬이 Crash 되는 현상이 발생되는지는 확인되지 않았다.

중요한 것은, BIND 를 운영하는 곳에서는 필히 확인해 보아야 하며,
취약점을 안고 있다면 반드시 업데이트를 해야 한다.

패킷인사이드를 방문하는 분들중에는
이와 관련된 분들이 많을것으로 생각되어 공유한다.

좀더 자세한 내용은 아래 권고문을 참고하기 바란다.

[ASEC 권고문] BIND의 불안전한 레코드 구성에 의한 제로데이 서비스거부 공격
http://www.ahnlab.com/kr/site/securitycenter/asec/asecView.do?seq=18679

* 만약 이와 관련한 패킷 데이터 또는 피해사례가 있다면 공유를 부탁드립니다. (댓글)

댓글 없음:

댓글 쓰기