DNS마스크에서 발견된 7가지 취약점 때문에 13년 전에 나왔던 취약점들까지도 덩달아 위험해졌다. 그래서 16개 회사들이 뭉쳤다. 패치가 나왔다. 이제는 사용자들이 이를 적용할 차례다. 코로나 시대라 회사들이 채근해야 할지도 모른다고 한다.
[보안뉴스 문가용 기자] 인기 높은 DNS 캐싱 및 IP 주소 할당 소프트웨어인 DNS마스크(DNSMasq)에서 취약점들이 발견되었다. 이 취약점들을 익스플로잇 할 경우 공격자는 네트워크 트래픽을 다른 곳으로 우회시키거나 디도스 공격을 실시하거나 피해자의 네트워크 장비들을 장악할 수 있게 된다고 한다.
[이미지 = utoimage]
이 취약점을 찾아낸 건 이스라엘의 보안 업체 제이소프(JSOF)이며, 구글과 레드햇 역시 같은 취약점을 확인한 바 있다. 총 일곱 개의 취약점인데, 3개의 DNS 캐시 포이즈닝 관련 취약점과 4개의 버퍼 오버플로우 취약점들로 구성되어 있다. 7개를 합해서 DNS푸크(DNSpooq)라고 제이소프는 부른다.
제이소프의 CEO인 슐로미 오베르만(Shlomi Oberman)은 “디도스 공격과 장비 장악 공격도 가능하지만 DNS 캐시 포이즈닝을 통한 각종 추가 공격이 더 현실적인 시나리오일 것 같다”고 설명한다. “예를 들어 피해자가 특정 사이트에 들어가고자 했을 때 이 공격을 통해 다른 웹사이트로 우회시키면서 여러 가지 사기 행각을 벌일 수 있습니다. 캐시 포이즈닝 공격은 꽤나 위험할 수 있으며 피해가 커질 수 있는 공격입니다.”
사실 이 취약점들은 이미 수개월 전에 등장했다. 여러 소프트웨어 개발사들과 장비 제조사들이 수개월 동안 이 해결하기 위해 힘을 모아왔다. 시스코, 디지 인터내셔널, 넷기어, 레드햇, 지멘스 등 무려 16개 회사들이 여기에 참여했다. DNS마스크의 원 개발자인 사이먼 켈리(Simon Kelley)도 약 4주 전에 패치를 발표했었다. 패치가 된 버전은 2.83이다.
레드햇 측에서 별도로 낸 보안 권고문에 의하면 포이즈닝 취약점을 통한 우회 접속 공격은 성공 가능성이 높지만 100% 성립되는 건 아니라고 한다. “16비트 식별자와 특정 UDP 포트를 추측으로 맞춰야 하는데, DNS푸크 취약점들은 추측의 횟수를 크게 줄여주긴 해도 식별자와 UDP 포트를 정확히 알려주는 건 아닙니다. 즉 공격자가 DNS마스크 클라이언트를 사용해 많은 DNS 쿼리를 실행하기 시작해야만 공격을 성립시킬 수 있다는 것입니다.”
이번에 DNS마스크에서 발견된 취약점들은 13년 전에 발견된 DNS 소프트웨어에서 발견된 취약점들과 어느 정도 관련이 있다고 한다. 이 과거의 취약점들은 최근에 발견된 취약점들과 달리 최초 설계와 관련이 있는 것으로, 한꺼번에 종합적으로 익스플로잇 해야만 했다. 따라서 13년 전에 발견된 것이지만 실제 공격에 활용된 사례가 없다. 하지만 최근의 취약점들이 발견되면서 예전 취약점들이 다시 문제가 될 가능성이 높아졌다고 한다. 즉 두 발견의 시너지가 우려되는 상황이라는 것이다.
“확실히 어느 정도까지의 피해가 예상되는 건 아닙니다만, 특정 조건이 맞아 떨어진다면 누구나 심각한 피해를 입을 수 있게 됩니다. 그래서 장비 제조사들과 소프트웨어 개발자들이 힘을 합해서 패치를 개발하고 배포하기 시작한 것이죠. 하지만 사용자들이 패치를 좀처럼 적용하지 않아서 문제입니다. 가정용 라우터를 패치한다는 사람 얘기 들어본 적 있으세요? 매우 드문 얘기죠.” 오베르만의 설명이다.
또한 공격의 난이도가 높지 않다는 점도 오베르만은 지적한다. “그래서 이 DNS마스크 취약점들로 인해 가정 네트워크들에서 사건들이 터질 것으로 보고 있습니다. 하지만 일반 가정 사용자들이 어지간해서는 공격을 탐지할 수 없고, 막는 건 더더욱 불가능하죠.”
가정용 라우터들만이 문제는 아니다. 안드로이드 장비들도 DNS마스크를 사용해 네트워크 트래픽을 라우팅 한다. 따라서 안드로이드 기반 장비들도 공격 대상이 될 수 있다. “하지만 안드로이드 장비를 공격하려면 공격자가 가까이 있어야 합니다. 따라서 라우터 만큼 심각한 문제가 발생할 거라고 보이진 않습니다.”
이 때문에 DNS마스크 문제를 가장 관심 있게 지켜봐야 하는 건 코로나 때문에 임직원들을 원격 근무시키고 있는 조직들이다. 가정 네트워크를 공격자들이 공격한다면 그 동기도 바로 이 재택 근무 체제 때문일 거라고 오베르만은 설명한다. “가정용 라우터를 통해 사무실 네트워크에 연결하는 근무자들이 많을 겁니다. 그럴 때 포이즈닝 등과 같은 사이버 공격이 문제가 될 수 있습니다. 회사가 가정용 라우터들에 대한 가시성을 확보해야 보다 안전해질 수 있습니다.”
하지만 현실적으로 회사가 직원들의 가정용 라우터까지 관리하기는 힘들기 때문에 DNS푸크 취약점들은 계속해서 골치 아픈 존재로 남아있을 것 같다고 오베르만은 예상한다. “취약한 라우터로 회사 업무를 진행하다가 공격자에게 회사 문을 열어주는 결과를 초래하는 것도 얼마든지 가능합니다. 디도스 공격이나 장비 장악으로 완전히 업무를 방해할 수도 있고, 트래픽을 우회시켜 다른 악성 공격을 이어갈 수도 있고요.”
3줄 요약
1. 인기 높은 DNS마스크 소프트웨어에서 7개 취약점 발견됨.
2. 13년 전에 다수 발견된 취약점과 결합될 때 심각한 문제 발생할 수 있음.
3. 가정용 라우터에서 실제 공격 일어날 가능성이 가장 높은 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 인기 높은 DNS 캐싱 및 IP 주소 할당 소프트웨어인 DNS마스크(DNSMasq)에서 취약점들이 발견되었다. 이 취약점들을 익스플로잇 할 경우 공격자는 네트워크 트래픽을 다른 곳으로 우회시키거나 디도스 공격을 실시하거나 피해자의 네트워크 장비들을 장악할 수 있게 된다고 한다.
[이미지 = utoimage]
이 취약점을 찾아낸 건 이스라엘의 보안 업체 제이소프(JSOF)이며, 구글과 레드햇 역시 같은 취약점을 확인한 바 있다. 총 일곱 개의 취약점인데, 3개의 DNS 캐시 포이즈닝 관련 취약점과 4개의 버퍼 오버플로우 취약점들로 구성되어 있다. 7개를 합해서 DNS푸크(DNSpooq)라고 제이소프는 부른다.
제이소프의 CEO인 슐로미 오베르만(Shlomi Oberman)은 “디도스 공격과 장비 장악 공격도 가능하지만 DNS 캐시 포이즈닝을 통한 각종 추가 공격이 더 현실적인 시나리오일 것 같다”고 설명한다. “예를 들어 피해자가 특정 사이트에 들어가고자 했을 때 이 공격을 통해 다른 웹사이트로 우회시키면서 여러 가지 사기 행각을 벌일 수 있습니다. 캐시 포이즈닝 공격은 꽤나 위험할 수 있으며 피해가 커질 수 있는 공격입니다.”
사실 이 취약점들은 이미 수개월 전에 등장했다. 여러 소프트웨어 개발사들과 장비 제조사들이 수개월 동안 이 해결하기 위해 힘을 모아왔다. 시스코, 디지 인터내셔널, 넷기어, 레드햇, 지멘스 등 무려 16개 회사들이 여기에 참여했다. DNS마스크의 원 개발자인 사이먼 켈리(Simon Kelley)도 약 4주 전에 패치를 발표했었다. 패치가 된 버전은 2.83이다.
레드햇 측에서 별도로 낸 보안 권고문에 의하면 포이즈닝 취약점을 통한 우회 접속 공격은 성공 가능성이 높지만 100% 성립되는 건 아니라고 한다. “16비트 식별자와 특정 UDP 포트를 추측으로 맞춰야 하는데, DNS푸크 취약점들은 추측의 횟수를 크게 줄여주긴 해도 식별자와 UDP 포트를 정확히 알려주는 건 아닙니다. 즉 공격자가 DNS마스크 클라이언트를 사용해 많은 DNS 쿼리를 실행하기 시작해야만 공격을 성립시킬 수 있다는 것입니다.”
이번에 DNS마스크에서 발견된 취약점들은 13년 전에 발견된 DNS 소프트웨어에서 발견된 취약점들과 어느 정도 관련이 있다고 한다. 이 과거의 취약점들은 최근에 발견된 취약점들과 달리 최초 설계와 관련이 있는 것으로, 한꺼번에 종합적으로 익스플로잇 해야만 했다. 따라서 13년 전에 발견된 것이지만 실제 공격에 활용된 사례가 없다. 하지만 최근의 취약점들이 발견되면서 예전 취약점들이 다시 문제가 될 가능성이 높아졌다고 한다. 즉 두 발견의 시너지가 우려되는 상황이라는 것이다.
“확실히 어느 정도까지의 피해가 예상되는 건 아닙니다만, 특정 조건이 맞아 떨어진다면 누구나 심각한 피해를 입을 수 있게 됩니다. 그래서 장비 제조사들과 소프트웨어 개발자들이 힘을 합해서 패치를 개발하고 배포하기 시작한 것이죠. 하지만 사용자들이 패치를 좀처럼 적용하지 않아서 문제입니다. 가정용 라우터를 패치한다는 사람 얘기 들어본 적 있으세요? 매우 드문 얘기죠.” 오베르만의 설명이다.
또한 공격의 난이도가 높지 않다는 점도 오베르만은 지적한다. “그래서 이 DNS마스크 취약점들로 인해 가정 네트워크들에서 사건들이 터질 것으로 보고 있습니다. 하지만 일반 가정 사용자들이 어지간해서는 공격을 탐지할 수 없고, 막는 건 더더욱 불가능하죠.”
가정용 라우터들만이 문제는 아니다. 안드로이드 장비들도 DNS마스크를 사용해 네트워크 트래픽을 라우팅 한다. 따라서 안드로이드 기반 장비들도 공격 대상이 될 수 있다. “하지만 안드로이드 장비를 공격하려면 공격자가 가까이 있어야 합니다. 따라서 라우터 만큼 심각한 문제가 발생할 거라고 보이진 않습니다.”
이 때문에 DNS마스크 문제를 가장 관심 있게 지켜봐야 하는 건 코로나 때문에 임직원들을 원격 근무시키고 있는 조직들이다. 가정 네트워크를 공격자들이 공격한다면 그 동기도 바로 이 재택 근무 체제 때문일 거라고 오베르만은 설명한다. “가정용 라우터를 통해 사무실 네트워크에 연결하는 근무자들이 많을 겁니다. 그럴 때 포이즈닝 등과 같은 사이버 공격이 문제가 될 수 있습니다. 회사가 가정용 라우터들에 대한 가시성을 확보해야 보다 안전해질 수 있습니다.”
하지만 현실적으로 회사가 직원들의 가정용 라우터까지 관리하기는 힘들기 때문에 DNS푸크 취약점들은 계속해서 골치 아픈 존재로 남아있을 것 같다고 오베르만은 예상한다. “취약한 라우터로 회사 업무를 진행하다가 공격자에게 회사 문을 열어주는 결과를 초래하는 것도 얼마든지 가능합니다. 디도스 공격이나 장비 장악으로 완전히 업무를 방해할 수도 있고, 트래픽을 우회시켜 다른 악성 공격을 이어갈 수도 있고요.”
3줄 요약
1. 인기 높은 DNS마스크 소프트웨어에서 7개 취약점 발견됨.
2. 13년 전에 다수 발견된 취약점과 결합될 때 심각한 문제 발생할 수 있음.
3. 가정용 라우터에서 실제 공격 일어날 가능성이 가장 높은 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
