연구자들이 국가 간 스파이 활동 능력을 가진 새로운 DNS 취약점을 발견하다

최근 새로운 DNS 취약점이 발견되었습니다. 연구자들에 따르면, 이 결함은 해커들에게 국가 수준의 스파이 활동 능력을 부여하고 개인 및 기업 네트워크의 정보에 접근할 수 있게 합니다. 이 취약점은 DNS-as-a Service 제공업체들에게 큰 영향을 미칩니다.

Wiz라는 클라우드 인프라 보안 회사의 연구원들이 Amazon Route 53을 통해 취약점을 조사하고 공격 방법을 발견했습니다. 그들은 “Amazon과 Google과 같은 관리형 DNS 제공업체를 통해 전 세계 동적 DNS 트래픽의 일부를 가로챌 수 있는 간단한 허점을 발견했다”고 말했습니다.

연구자들은 이 결함이 전 세계의 민간 및 정부 기관에 영향을 줄 수 있다고 주장했다. “우리가 ‘도청한’ 동적 DNS 트래픽은 포춘 500대 기업, 45개의 미국 정부 기관, 그리고 85개의 국제 정부 기관을 포함한 15,000개 이상의 조직에서 왔습니다.”라고 Wiz가 밝혔다.

또한, 이 해킹은 DNS 하이재킹 공격으로 이어질 수 있습니다. 연구에 따르면, 도메인 이름(예: amazonaws.com)을 Amazon S3 버킷(호스트가 Route 53에 위치함)에 연결한 다음 변경 레코드를 생성하고 도메인 이름과 연결할 수 있습니다. 이를 통해 공격자는 자신의 도메인 이름에서 트래픽을 리디렉션하여 AWS가 마련한 보호 조치를 우회할 수 있습니다.

“Wiz 연구원들이 밝힌 바에 따르면, DNS 클라이언트가 이 네임 서버에 자신에 대해 질의할 때마다(수천 대의 장치가 관리 네트워크 내에서 IP 주소를 업데이트하기 위해 자동으로 수행하는 작업입니다. 이에 대해서는 잠시 후에 더 자세히 설명하겠습니다), 그 트래픽은 직접 우리의 IP 주소로 전송됩니다.”

새로운 DNS 취약점의 가능한 영향

실시된 테스트에 따르면, Wiz 연구원들은 15,000개 이상의 조직으로부터 DNS 트래픽을 받았다고 주장합니다. 그들이 받은 데이터에는 IP 주소, 사무실 위치, 사용자 이름이 포함되어 있습니다.

연구원들은 이 문제가 IP 주소가 변경될 때 마스터 DNS 서버를 찾고 업데이트하기 위해 Windows 장치가 사용하는 알고리즘과 관련이 있다고 말합니다. “유출된 트래픽은 누구에게나 기업과 정부 내부에서 무슨 일이 일어나고 있는지 새의 눈으로 볼 수 있는 기회를 제공합니다. 우리는 이것을 국가 수준의 스파이 기능을 가진 것과 같다고 비유하며, 이를 얻는 것은 도메인을 등록하는 것만큼 쉬웠습니다.”라고 Wiz 연구원들이 밝혔습니다.

연구원들이 40,000개 이상의 서버 트래픽에서 수집한 데이터를 사용하여 주요 서비스 회사의 직원들이 어디에 사는지를 매핑할 때 사이버 공격의 잠재적 영향이 입증되었습니다.

수신된 데이터에는 직원 세부 정보와 조직의 인프라에 대한 민감한 정보도 포함되어 있었습니다. 대부분의 기업 웹사이트에서 찾을 수 있는 정보를 통해 위협 행위자는 모든 것을 가질 수 있습니다 — 모든 직원, 위치, 구조 등 네트워크 침해에 사용될 수 있는 다른 것들에 대한 개요를 말이죠.

연구원들은 Black Hat에서 “영향은 매우 큽니다. 우리가 조사한 여섯 개의 주요 DNSaaS 제공업체 중 세 곳이 네임서버 등록에 취약했습니다. DNSaaS를 제공하는 모든 클라우드 제공업체, 도메인 등록기관, 웹사이트 호스트가 취약할 수 있습니다.”라고 말했습니다.

연구자들은 DNS 취약점이 야생에서 이전에 악용된 증거가 없다고 덧붙였습니다. 그러나 이를 알고 있고 일정한 기술을 가진 사람이라면 10년 이상 이를 악용할 수 있었을 것입니다.

DNS 취약점 수정하기

Amazon과 Google에 통보된 후, 그들은 결함을 수정했습니다. 그러나 Wiz 연구원들은 다른 DNS 제공 업체들도 취약할 수 있으며 수백만 명을 공격에 노출시킬 수 있다고 믿습니다.

연구원들은 또한 마이크로소프트에도 통보했지만, 그들은 이것이 “조직이 외부 DNS 리졸버와 작업할 때 발생하는 알려진 잘못된 구성”이며 취약점이 아니라고 답했습니다.

Microsoft가 동적 DNS 알고리즘을 조정할 수 있음에도 불구하고 이것이 취약점이 아니라고 주장하기 때문에, 이 중요한 DNS 버그를 누가 수정해야 할지 불분명합니다.

Wiz는 서비스 제공업체들이 데이터 유출과 DDOS 공격을 방지하기 위해 몇 가지 조치를 취할 수 있다고 말합니다. 조직은 DNS 리졸버를 올바르게 구성함으로써 데이터 유출을 방지할 수 있습니다.

레드몬드의 권장 사항은 내부 및 외부 호스트에 대해 다른 DNS 이름과 영역을 사용하고 Windows에서 동적 업데이트를 올바르게 구성하는 방법에 대한 지침을 따르는 것입니다. 이렇게 하면 충돌 위험이 줄어들고 로컬 네트워크의 컴퓨터가 DNS 설정을 자동으로 해결하기가 더 쉬워집니다.

관리되는 DNS 제공업체는 고객에게 도메인 등록을 요청하기 전에 도메인을 검증하고 유효성을 확인함으로써 DNS 하이재킹 문제를 해결할 수도 있습니다. 또한, 이를 방지하기 위해 RFC의 “예약된 이름” 사양을 따를 수 있습니다.

임대한 DNS 서버를 가진 회사들은 동적 DNS를 업데이트하고 기본 시작 권한(SOA) 레코드를 수정함으로써 인터넷 네트워크 트래픽의 유출을 방지할 수 있습니다.

결론

Wiz 연구원들이 DDOS 공격을 일으킬 수 있는 새로운 DNS 결함을 발견했습니다. 이 결함은 국가 간 스파이 활동의 가능성을 시험하고 입증했습니다. 이 결함은 기업, 개인 및 정부 기관에 영향을 줄 수 있습니다. 직원들에 대한 민감한 정보를 누출하고 기업 활동을 방해할 수 있습니다. Amazon과 Google은 자신들의 시스템에서 이 문제를 해결했지만, Microsoft는 취약점이 없다고 주장합니다.

Wiz 연구원들은 조직들에게 DNS를 업데이트하고 사이버 보안을 진지하게 받아들여 DDOS 공격을 방지할 것을 권고했습니다.