2024년 7월, 미국 사이버 보안 및 인프라 보안국(CISA)은 BIND 9 DNS 소프트웨어 제품군에서 발견된 여러 취약점에 대한 중요한 권고를 발표했다. 이러한 취약점은 인터넷 시스템 컨소시엄(ISC)에 의해 식별되고 패치되었으며, 위협 행위자가 이를 악용해 서비스 거부(DoS) 공격을 실행할 수 있어 주의해야 한다.
BIND 9는 널리 사용되는 오픈소스 소프트웨어 제품군으로, DNS 서비스를 제공하여 사람이 읽을 수 있는 도메인 이름을 IP 주소로 변환하는 역할을 한다. 이 소프트웨어는 금융 기관, 대학, 정부 기관 등 주요 기관에서 사용되며, 인터넷 기능에 매우 중요하다. 따라서 BIND 9는 사이버 공격의 주요 표적이 되고 있다.
이번 권고에서는 CVSS 점수 7.5를 받은 네 가지 고위험 취약점이 상세히 소개됐다.
-CVE-2024-4076: 잘못된 논리 오류로 인해 로컬 권한 구역 데이터에서 오래된 데이터를 제공하는 조회가 오류를 초래할 수 있다.
-CVE-2024-1975: SIG(0) 프로토콜을 사용하여 서명된 DNS 메시지를 검증하면 과도한 CPU 부하가 발생하여 DoS 상태를 초래할 수 있다.
-CVE-2024-1737: 단일 소유자 이름에 대해 과도하게 많은 리소스 레코드 유형을 생성하여 데이터베이스 처리 속도가 느려질 수 있다.
-CVE-2024-0760: 악의적인 DNS 클라이언트가 TCP를 통해 많은 쿼리를 보내고 응답을 읽지 않으면 다른 클라이언트에 대한 서버 응답이 느려지거나 중지될 수 있다.
-CVE-2024-4076은 논리 오류를 악용해 검증 실패를 유발하며, 이는 프로세스가 예기치 않게 종료되도록 할 수 있다. 공격자는 이를 악용해 DNS 서비스를 중단시킬 수 있다.
-CVE-2024-1975는 DNS 메시지 인증에 사용되는 SIG(0) 프로토콜과 관련이 있으며, 이 취약점을 악용하면 서버 성능이 저하되고 서버가 응답하지 않게 될 수 있다.
-CVE-2024-1737은 데이터베이스 처리 효율성을 목표로 하며, 하나의 소유자 이름에 많은 리소스 레코드 유형을 생성하여 서버의 처리 능력을 크게 저하시킬 수 있다.
-CVE-2024-0760은 공격자가 TCP를 통해 서버에 많은 쿼리를 보내고 응답을 읽지 않으면 서버 자원이 고갈되어 다른 클라이언트에 대한 응답이 느려지거나 중지될 수 있다.
악의적인 해커가 이러한 취약점을 악용하면 △인스턴스 종료 △CPU 자원 고갈 △쿼리 처리 속도 100배 느려짐 △서버 응답 불가 등이 발생할 수 있다.
이러한 위험을 완화하기 위해 ISC는 BIND 9 버전 9.18.28, 9.20.0 및 9.18.28-S1에서 패치를 발표했다. 사용자와 관리자는 즉시 이러한 업데이트를 적용하여 잠재적 공격으로부터 DNS 인프라를 보호해야 한다.
이번 취약점 발견은 2023년 초에 발견된 KeyTrap(CVE-2023-50387) 이후로, 이는 CPU 자원을 고갈시키고 DNS 리졸버를 중단시킬 수 있는 유사한 위협이었다.
BIND 9를 사용하는 조직은 시스템을 최신 패치된 버전으로 업데이트해 DoS 공격의 잠재적 위협을 방지해야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
