DNS 캐시에 가짜 데이터를 삽입하는 새로운 SAD DNS 공격

캘리포니아 대학교 리버사이드(University of California, Riverside) 연구진은 작년에 CVE-2021-20322 취약점을 차단하기 위해 추가된 보호 기능에도 불구하고 작동하는 SAD DNS 공격(CVE-2020-25705)의 새로운 변종을 발표했습니다. 새로운 방법은 일반적으로 작년의 취약점과 유사하며 활성 UDP 포트를 확인하기 위해 다른 유형의 ICMP 패킷을 사용한다는 점만 다릅니다. 제안된 공격에서는 가상의 데이터를 DNS 서버 캐시로 대체할 수 있으며, 이는 캐시에 있는 임의 도메인의 IP 주소를 대체하고 해당 도메인에 대한 요청을 공격자의 서버로 리디렉션하는 데 사용할 수 있습니다.

제안한 방법은 Linux의 ICMP 패킷 처리 메커니즘의 특성과 연결되어 Linux 네트워크 스택에서만 작동합니다. ICMP 패킷 처리 메커니즘은 서버가 메시지를 보내기 위해 사용하는 UDP 포트 번호 결정을 단순화하는 데이터 유출 소스 역할을 합니다. 외부 요청. 정보 유출을 차단하는 변경 사항은 5.15월 말 Linux 커널에 적용되었습니다(수정 사항은 커널 XNUMX 및 커널의 LTS 분기에 대한 XNUMX월 업데이트에 포함되었습니다). 수정 사항은 Jenkins Hash 대신 네트워크 캐시에서 SipHash 해싱 알고리즘을 사용하도록 전환하는 것으로 요약됩니다. 배포판의 취약점 수정 상태는 Debian, RHEL, Fedora, SUSE, Ubuntu 페이지에서 평가할 수 있습니다.

문제를 확인한 연구원에 따르면 OpenDNS 및 Quad38(9)와 같은 인기 있는 DNS 서비스를 포함하여 네트워크의 개방형 확인자 중 약 9.9.9.9%가 취약합니다. 서버 소프트웨어의 경우 리눅스 서버에서 BIND, Unbound, dnsmasq 등의 패키지를 이용하여 공격이 가능하다. Windows 및 BSD 시스템에서 실행되는 DNS 서버에는 문제가 나타나지 않습니다. 공격을 성공적으로 수행하려면 IP 스푸핑(Spoofing)을 사용해야 합니다. 공격자의 ISP는 가짜 소스 IP 주소를 사용하는 패킷을 차단하지 않아야 합니다.

SAD DNS 공격은 Dan Kaminsky가 2008년에 제안한 전통적인 DNS 캐시 중독 방법을 차단하기 위해 DNS 서버에 추가된 보호 기능을 우회합니다. Kaminsky의 방법은 16비트에 불과한 DNS 쿼리 ID 필드의 작은 크기를 조작합니다. 호스트 이름 스푸핑에 필요한 올바른 DNS 트랜잭션 식별자를 선택하려면 약 7000개의 요청을 보내고 약 140만 개의 가상 응답을 시뮬레이션하는 것으로 충분합니다. 이 공격은 가상의 IP 바인딩과 다양한 DNS 트랜잭션 식별자를 사용하여 DNS 확인자에게 대량의 패킷을 보내는 것으로 요약됩니다. 첫 번째 응답의 캐싱을 방지하기 위해 각 더미 응답에는 약간 수정된 도메인 이름(1.example.com, 2.example.com, 3.example.com 등)이 포함됩니다.

이러한 유형의 공격으로부터 보호하기 위해 DNS 서버 제조업체는 확인 요청이 전송되는 소스 네트워크 포트 수를 무작위로 배포하여 식별자의 크기가 충분하지 않은 것을 보상했습니다. 가상 응답 전송을 위한 보호를 구현한 후 16비트 식별자를 선택하는 것 외에도 64개의 포트 중 하나를 선택해야 했으며 이로 인해 선택 옵션 수가 2^32로 늘어났습니다.

SAD DNS 방법을 사용하면 네트워크 포트 번호 결정을 근본적으로 단순화하고 공격을 고전적인 Kaminsky 방법으로 줄일 수 있습니다. 공격자는 ICMP 응답 패킷을 처리할 때 네트워크 포트 활동에 대한 유출된 정보를 활용하여 사용되지 않거나 활성인 UDP 포트에 대한 액세스를 탐지할 수 있습니다. 이 방법을 사용하면 검색 옵션 수를 4배(2^16 대신 2^16+2^32(131_072_4_294 대신 967_296))만큼 줄일 수 있습니다. 활성 UDP 포트를 신속하게 확인할 수 있는 정보 유출은 조각화 요청(ICMP 조각화 필요 플래그) 또는 리디렉션(ICMP 리디렉션 플래그)이 포함된 ICMP 패킷을 처리하는 코드의 결함으로 인해 발생합니다. 이러한 패킷을 보내면 네트워크 스택의 캐시 상태가 변경되므로 서버의 응답을 기반으로 어떤 UDP 포트가 활성화되어 있고 어떤 포트가 활성화되지 않았는지 확인할 수 있습니다.

공격 시나리오: DNS 확인자는 도메인 이름 확인을 시도할 때 도메인을 제공하는 DNS 서버에 UDP 쿼리를 보냅니다. 확인자가 응답을 기다리는 동안 공격자는 요청을 보내는 데 사용된 소스 포트 번호를 신속하게 확인하고 여기에 가짜 응답을 보내 IP 주소 스푸핑을 사용하여 도메인에 서비스를 제공하는 DNS 서버를 가장할 수 있습니다. DNS 확인자는 가짜 응답으로 전송된 데이터를 캐시하고 얼마 동안 도메인 이름에 대한 다른 모든 DNS 요청에 대해 공격자가 대체한 IP 주소를 반환합니다.

출처 : opennet.ru