DNSpooq - dnsmasq의 여러 보안 취약점 (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683, CVE-2020-25684, CVE-2020-25685, CVE-2020-25686, CVE-2020- 25687)

요약

Red Hat은 DNSpooq로 알려진 dnsmasq의 여러 보안 취약점을 인지하고 있습니다. Dnsmasq는 사설 네트워크 및 가상화 환경에 DNS 및 DHCP를 포함한 네트워크 서비스를 제공하는데 사용되는 경량 도구 프로그램입니다. 이러한 문제는 dnsmasq에서 제공하는 DNS(Domain Name System) 서비스에서 발생하며, 원격 공격자가 dnsmasq 클라이언트 시스템을 어느 정도 제어할 수 있도록 사용자를 잘못된 사이트로 리디렉션하거나 dnsmasq를 호스팅하는 시스템에서 코드를 실행하는 데 사용될 수 있습니다.

이러한 두 가지 보안 취약점 (CVE-2020-25681 및 CVE-2020-25682)은 dnsmasq 시스템에서 원격으로 코드를 실행할 수 있기 때문에 보안 심각도 등급에서 중요한 영향을 미치는 것으로 평가되었습니다. CVE-2020-25683, CVE-2020-25684, CVE-2020-25685, CVE-2020-25686, CVE-2020-25687은 보안 심각도 등급에서 중간 수준의 영향을 미치는 것으로 평가되었습니다.

CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 및 CVE-2020-25687을 사용하려면 dnsmasq 구성에서 DNSSEC를 컴파일하고 활성화해야 합니다. 결과적으로 기본 구성이 아닌 구성을 사용할 때 다음 Red Hat 제품 버전이 영향을 받습니다.

• Red Hat Enterprise Linux 8

CVE-2020-25684, CVE-2020-25685 및 CVE-2020-25686을 통해 공격자는 DNS 캐시 데이터를 손상시키고 사용자를 잘못된 사이트로 리디렉션할 수 있습니다. 영향을 받는 Red Hat 제품 버전은 다음과 같습니다.

• Red Hat Enterprise Linux 6

• Red Hat Enterprise Linux 7

• Red Hat Enterprise Linux 8

다음 Red Hat 제품은 Red Hat Enterprise Linux 채널에서 dnsmasq를 가져올 때 잠재적으로 영향을 받습니다. 기본 Red Hat Enterprise Linux dnsmasq 패키지가 최신 버전인지 확인하고 자세한 정보는 libvirt 사용 사례를 참조하십시오.

• Red Hat OpenStack Platform 10

• Red Hat OpenStack Platform 13

• Red Hat Virtualization 4.3

• Red Hat Virtualization 4.4

현재 사용 중인 시스템에 보안 취약점이 있는지 확인하려면 아래의 진단 섹션을 참조하십시오.

기술 요약

dnsmasq의 7 가지 문제는 두 그룹으로 분류됩니다.

• dnsmasq가 수신되는 DNS 응답을 이전에 전송된 쿼리와 일치시킬 수 있는 방법에 존재하는 결함 (CVE-2020-25684, CVE-2020-25685 및 CVE-2020-25686).

• 유효성 검사를 위해 DNSSEC 데이터를 준비하는 코드에서 버퍼 오버플로로 구성된 결함 (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 및 CVE-2020-25687).

두 번째 그룹의 취약점을 악용하기 위해 공격자는 dnsmasq 클라이언트의 협업 또는 클라이언트가 dnsmasq 공격자가 제어하는 도메인에 대한 일련의 DNS 쿼리를 시작하도록하는 방법이 필요합니다.

첫 번째 그룹으로 분류된 취약점은 DNS 캐시 중독 공격 (DNS Cache Poisoning Attack)을 수행하는 데 사용될 수 있으며 이는 DNS 서버로 dnsmasq를 사용하는 모든 클라이언트에 영향을 미쳐 잘못된 이름을 확인하도록 합니다. 이러한 취약점이 서로 연결되면 몇 분 내에 시스템에서 보안 공격을 수행할 수 있습니다.

두 번째 취약점 그룹은 dnsmasq에서 DNSSEC를 사용하도록 설정해야하며, DNSSEC 데이터의 유효성을 검사하기 전에 개방형 전달 쿼리에 조작된 응답을 전송하여 이러한 취약점을 트리거할 수 있습니다.

상황에 따라 이러한 취약점을 사용한 보안 공격의 결과도 달라집니다. CVE-2020-25681 및 CVE-2020-25682의 경우 호스트 시스템에서 악성 코드가 원격 실행될 수 있으므로 보안 심각도 등급이 중요로 지정됩니다. CVE-2020-25683 및 CVE-2020-25687은 dnsmasq 서비스 중단만 발생하며 보안 심각도 등급은 보통입니다.

사용자가 dnsmasq를 시작하지 않더라도 libvirt에 의해 자동으로 실행되어 게스트 가상 시스템에 DNS 서비스를 제공할 수 있습니다. 또한 NetworkManager는 dnsmasq를 사용하여 시스템에 DNS를 제공하도록 구성할 수 있습니다.

보안 취약점에 대한 자세한 내용은 배경 정보 부분을 참조하십시오.

완화 방법

dnsmasq를 호출할 때 '--cache-size=0'을 추가하거나 dnsmasq 구성 파일 (기본값 /etc/dnsmasq.conf)에 'cache-size=0'을 추가하여 dnsmasq 캐시를 비활성화하면 CVE-2020-2564, CVE-2020-25686의 영향을 줄일 수 있습니다.

virt:rhel 모듈을 통해 libvirt와 함께 Red Hat Enterprise Linux 8.3을 사용하는 경우`virsh net-edit <network-name>`을 사용하고 https://libvirt.org/formatnetwork.html#elementsNamespaces를 참조하여 권장 옵션 `cache-size=0`을 추가합니다.

Red Hat Enterprise Linux 8.3 이전 버전을 사용하는 경우 libvirt에서 생성된 dnsmasq 구성을 사용자 정의할 수 없습니다. dnsmasq가 NetworkManager를 통해 실행되는 경우 /etc/NetworkManager/dnsmasq.d/에 새 파일을 만들고`cache-size = 0`을 추가합니다.

모든 경우에 캐시를 비활성화하면 모든 DNS 쿼리가 업스트림 서버로 전달되므로 환경에서 성능이 저하될 수 있습니다. 완화 조치를 적용하기 전에 시스템 환경에 적절한 방법인지 평가하십시오.

CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 및 CVE-2020-25687을 완화하는 유일한 방법은 `--dnssec` 명령줄 옵션 또는 'dnssec' 옵션을 dnsmasq 구성 파일에서 제거하여 DNSSEC를 완전히 비활성화하는 것입니다.

dnsmasq 업데이트가 제공되는 즉시 적용하는 것이 좋습니다.

기술적 세부 사항

CVE-2020-25681

DNSSEC 데이터로 유효성을 검사하기 전에 RRSet을 정렬하는 방식에서 힙 기반 버퍼 오버플로가 검색되었습니다. DNS 응답을 위조 (응답이 유효한 것으로 승인되는 등)할 수 있는 네트워크 공격자는 이 취약점을 악용하여 힙 메모리 세그먼트에서 임의 데이터로 버퍼 오버플로를 유발하고 시스템에서 코드를 실행할 수 있습니다.

CVE-2020-25682

DNSSEC 데이터로 유효성을 검사하기 전에 DNS 패킷에서 DNSmasq 이름을 추출하는 방식에서 버퍼 오버플로 취약점이 발견되었습니다. 네트워크 공격자는 유효한 DNS 응답을 위조할 수 있으며 이 취약점을 악용하여 힙 메모리 세그먼트에서 임의 데이터로 버퍼 오버플로를 유발하고 시스템에서 코드를 실행할 수 있습니다. 이 취약점은 rfc1035.c:extract_name() 함수에 있으며, 이 함수는 버퍼에서 MAXDNAME * 2 바이트를 사용할 수 있다고 가정하고 이름이 지정된 메모리에 데이터를 기록합니다. 그러나 일부 코드 실행 경로에서는 extract_name()이 기본 버퍼에서 오프셋을 전달하여 실제로 버퍼에 쓸 수있는 사용 가능한 바이트 수를 줄일 수 있습니다.

CVE-2020-25683

DNSSEC가 활성화되고 수신된 DNS 항목의 유효성을 검사하기 전에 dnsmasq에서 힙 기반 버퍼 오버플로가 검색되었습니다. 유효한 DNS 응답을 생성할 수 있는 원격 공격자는 이 취약점을 악용하여 힙 할당 메모리에서 오버플로를 발생시킬 수 있습니다. 이 취약점은 rfc1035.c : extract_name ()의 길이 검사 부족으로 인해 발생하며, 이로 인해 get_rdata ()의 음수 크기로 코드가 memcpy()를 실행하도록 악용되어 dnsmasq가 중단되고 결국 서비스 거부를 유발할 수 있습니다.

CVE-2020-25684

전달된 쿼리에서 응답을 받을 때 dnsmasq는 전달 보류 중인 쿼리에서 응답 대상 주소/포트가 사용되는지 여부를 forward.c:reply_query()에서 확인합니다. 그러나 주소/포트를 사용하여 정확한 전달된 쿼리를 검색하지 않으므로 네트워크에서 공격자가 응답을 위조하고 dnsmasq에서 응답을 수락하도록 시도하는 횟수가 크게 감소됩니다. 이 문제는 응답을 일치시키기 위해 모든 쿼리에 사용하여 쿼리의 속성을 지정하는 RFC5452와 다릅니다. 이 취약점을 통해 공격자는 시스템에서 DNS 캐시 중독 공격을 수행할 수 있습니다. CVE-2020-25685 또는 CVE-2020-25686과 함께 사용하면 보안 공격을 성공적으로 수행하는 복잡성이 줄어 듭니다.

CVE-2020-25685

전달된 쿼리에서 응답을 받을 때 dnsmasq는 쿼리 이름의 약한 해시 값만 사용하여 응답과 일치하는 전달된 쿼리인 forward.c:reply_query()를 확인합니다. 약한 해시 값(DNSSEC없이 dnsmasq를 컴파일할 경우 CRC32, 경우에 따라 SHA-1)로 인해 오프 패스 공격자는 모두 동일한 해시 값을 가진 여러 다른 도메인을 찾을 수 있으므로 응답을 위조하고 DNSmasq에 의해 수락되기 위해 수행해야 하는 시도 횟수를 크게 줄일 수 있습니다. 이는 쿼리 이름과 응답 쿼리를 일치시키는 데 사용되어야 하는 쿼리 속성 중 하나임을 지정하는 RFC5452와 다릅니다. 이 취약점은 DNS 캐시 중독 공격을 수행하는 데 악용될 수 있습니다. CVE-2020-25684와 함께 사용하면 보안 공격을 성공시키는 복잡성이 줄어 듭니다.

CVE-2020-25686

쿼리를 수신할 때 dnsmasq는 동일한 이름의 보류중인 요청을 확인하지 않고 새 요청을 전달합니다. 기본적으로 최대 150 개의 보류 중인 쿼리를 업스트림 서버로 보낼 수 있으므로 동일한 이름에 대해 최대 150 개의 쿼리가 있을 수 있습니다. 이 취약점으로 인해 네트워크의 오프패스 공격자가 응답을 위조하고 dnsmasq에서 수락하도록 하기 위해 수행해야 하는 시도 횟수를 크게 줄일 수 있습니다. 이 문제는 RFC5452의 "Birthday Attacks"섹션에 언급되어 있습니다. CVE-2020-25684로 연결된 경우 성공적인 공격의 공격 복잡성이 줄어 듭니다.

CVE-2020-25687

DNSSEC가 활성화되고 수신된 DNS 항목의 유효성을 검사하기 전에 dnsmasq에서 힙 기반 버퍼 오버플로가 검색되었습니다. 이 취약점을 통해 유효한 DNS 응답을 생성할 수 있는 원격 공격자는 힙에 할당된 메모리에 오버플로를 발생시킬 수 있습니다. 이 취약점은 rfc1035.c : extract_name ()의 길이 검사 부족으로 인해 발생하며, 이로 인해 sort_rrset()의 음수 크기로 코드가 memcpy()를 실행하도록 악용되어 dnsmasq가 중단되고 결국 서비스 거부를 유발할 수 있습니다

배경 정보

DNS (Domain Name System)는 주로 도메인 이름 (예: www.example.com)을 IP 주소 (예: 127.0.0.1 및 2001:DB8::1)로 변환하는 데 사용됩니다. 이는 모든 도메인 및 변환을 인식하는 단일 노드가 없는 분산 시스템으로 구성됩니다. 단일 이름을 확인하려면 요청된 이름을 알고 있는 이름 서버에 도달할 때까지 여러 서버에서 여러 쿼리와 응답이 필요할 수 있습니다. 이러한 전체 프로세스를 DNS 확인 프로세스라고합니다.

DNS에는 몇 가지 보안 제한 사항이 있으며 특히 관련 서버 또는 기타 외부 공격자가 위조된 응답을 제공하지 않을 것이라고 보장할 수 없습니다. 외부 공격자가 통신을 가로채지 못하도록 DNS 응답/쿼리에서 임의의 16비트 식별자와 임의의 UDP 소스 포트를 주로 사용합니다. DNSSEC는 DNS 데이터에 원본 인증 및 무결성 보증을 제공하기 위해 DNS 위에 계층을 추가하도록 개발되었습니다. 이 옵션을 사용하면 다른 시스템에서 확인할 수 있는 실제 DNS 데이터와 서명을 연결하여 제공된 응답이 실제로 해당 도메인에 대한 권한있는 서버에서 제공되었으며 다른 사용자에 의해 위조되지 않았는지 확인합니다. DNSSEC 유효성 검사는 DNS 캐시 중독 공격을 방지하지만 아직 널리 채택되지는 않았습니다.

Dnsmasq는 소규모 사설 네트워크를 위한 네트워크 인프라를 제공하고 특히 DNS 및 DHCP 서비스를 제공하는 경량 도구 프로그램입니다. DNS 서비스는 주로 클라이언트에서 DNS 쿼리를 가져와서 미리 구성된 업스트림 DNS 서버 세트로 전달한 다음 응답을 캐시하여 동일한 또는 다른 클라이언트에서 다음 번에 동일한 쿼리를 수행 할 수 있도록 하는 포워더로 사용되어 업스트림 서버에 다시 요청하지 않고 즉시 응답을 반환할 수 있습니다. DNSSEC 유효성 검사를 수행하도록 구성할 수도 있습니다.

dnsmasq 클라이언트에 대한 일종의 제어 권한을 가진 공격자가 CVE-2020-25684, CVE-2020-25685 및 CVE-2020-25686을 악용하여 DNS 응답을 변조하고 dnsmasq가 응답을 미리 구성된 업스트림 DNS 서버에서 온 것처럼 받아 들이도록 속일 수 있습니다. 캐시가 활성화되면 (기본 동작) 이러한 잘못된 응답이 캐시에 저장되고 다른 클라이언트에도 제공되어 잠재적으로 악의적인 사이트로 리디렉션됩니다. 이 문제를 DNS 캐시 중독 공격 (DNS Cache Poisoning Attack)이라고 합니다. 이러한 취약점은 공격자가 특정 DNS 쿼리에 사용되는 16 비트 식별자와 특정 UDP 포트를 추측하기 위해 수행해야 하는 시도 횟수를 크게 줄입니다. 공격이 결정적이지 않고 값의 올바른 조합을 추측하는 데 시간이 필요하다는 점을 고려할 때 공격자는 공격자가 선택한 도메인에 대해 여러 DNS 쿼리를 수행하기 위해 dnsmasq 클라이언트가 필요합니다 (예: 공격 대상자가 브라우저를 통해 DNS 확인 프로세스를 트리거하는 악의적인 웹 사이트를 방문하면 공격자는 클라이언트 시스템을 제어하거나 손상시킬 수 있습니다).

dnsmasq가 DNSSEC를 사용하도록 구성되면 CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 및 CVE-2020-25687에 취약 해집니다. 이러한 취약점은 dnsmasq 클라이언트를 제어하는 원격 공격자가 dnsmasq를 실행하는 시스템에서 코드를 원격으로 실행하거나 손상시킴으로 dnsmasq 클라이언트에 대한 서비스 거부를 유발하여 더 이상 도메인 이름을 확인할 수 없게 하는 데 사용할 수 있습니다.

제품에 미치는 영향

Red Hat Enterprise Linux 8

기본적으로 dnsmasq systemd 서비스는 비활성화되어 있으며 NetworkManager는 이를 사용하도록 구성되어 있지 않습니다.

Red Hat Enterprise Linux 8과 함께 제공되는 dnsmasq 버전은 이 문서에서 기재된 모든 CVE의 영향을 받습니다. 그러나 기본 구성에서 Red Hat Enterprise Linux 8은 DNSSEC를 활성화하지 않으므로 CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 및 CVE-2020-25687의 영향을 받지 않습니다.

Red Hat Enterprise Linux 7 / Red Hat Enterprise Linux 6

기본적으로 dnsmasq systemd 서비스는 비활성화되어 있으며 NetworkManager는 이를 사용하도록 구성되어 있지 않습니다.

Red Hat Enterprise Linux 6 및 7과 함께 제공되는 dnsmasq 버전은 CVE-2020-25684, CVE-2020-25685 및 CVE-2020-25686의 영향을 받습니다.

Red Hat Enterprise Linux 6 및 7은 dnsmasq 패키지에서 DNSSEC가 컴파일되지 않기 때문에 다른 취약점의 영향을 받지 않습니다.

Libvirt 사용 사례

명시적으로 비활성화하지 않는 한 dnsmasq는 시스템 해석기를 업스트림 DNS 서버로 사용하여 libvirt 게스트에 DNS 서비스를 제공하는 데 사용됩니다. 게스트 시스템을 제어하거나 게스트 시스템을 속여 공격자가 제어하는 도메인에 대해 여러 DNS 쿼리를 수행하도록 속이는 공격자는 CVE-2020-25684, CVE-2020-25685 및 CVE-2020-25686을 사용하여 dnsmasq 캐시를 감염시키고 동일한 가상 네트워크에 연결된 모든 게스트에 영향을 줄 수 있습니다. DNSSEC를 수동으로 구성하지 않는 한 libvirt에서 사용되는 dnsmasq는 CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 및 CVE-2020-25687의 영향을 받지 않습니다.

서비스 영향

Red Hat OpenShift Online, OpenShift Dedicated, Microsoft Azure Red Hat OpenShift를 포함한 모든 OpenShift v3 클러스터의 경우:

Dnsmasq는 OpenShift Dedicated v3에서 사용되고 있습니다. OpenShift v3 클러스터에 사용되는 dnsmasq는 Red Hat Enterprise Linux 7 패키지를 통해 제공되며 v3 클러스터는 DNSSEC 취약점의 영향을 받지 않습니다.

비 DNSSEC 취약점의 경우 OpenShift Dedicated 3 서비스는 Red Hat Enterprise Linux 7에서 제공하는 패키지를 사용하고 있기 때문에 영향을 받습니다. 각 노드는 dnsmasq를 사용하며 공격자가 노드의 DNS 캐시를 공격하는 것을 방지할 수 있는 보호 기능이 없습니다.

다음을 포함한 모든 OpenShift v4 클러스터의 경우 (OpenShift Dedicated 클러스터 포함):

OpenShift Dedicated v4는 dnsmasq 대신 DNS 연산자 (CoreDNS 사용)를 사용합니다. OpenShift v4 클러스터는 dnsmasq 취약점의 영향을 받지 않습니다. v4에서 dnsmasq를 사용하는 클러스터가 없음을 확인했습니다.

CVE의 영향을 받는 Red Hat 제품

영향을 받는 제품의 업데이트

영향을 받는 Red Hat 제품 버전을 실행 중인 모든 Red Hat 고객은 에라타를 사용할 수 있는 즉시 해당 제품을 업데이트할 것을 권장합니다. 사용 가능한 업데이트를 즉시 적용하고 필요에 따라 완화 조치를 활성화하십시오.

[1] 업데이트가 릴리스된 후 권고/업데이트 링크가 추가됩니다.

[2] Red Hat Enterprise Linux Extended Update Support (EUS)서브스크립션이란 무엇입니까?

[3] Advanced mission critical Update Support (AUS)이란 무엇입니까?

[4] Red Hat Enterprise Linux SAP Solutions 서브스크립션이란 무엇입니까?

진단

진단 스크립트를 사용하여 현재 사용 중인 시스템에 보안 취약점이 있는지 확인합니다. 정규 스크립트임을 확인하려면 GPG 분리 서명을 다운로드합니다. GPG 서명을 확인하는 방법은 고객 포털에서 확인할 수 있습니다.

자주하는 질문 (FAQ)

Q: 사설 네트워크에서 DNS를 제공하는 데 dnsmasq를 사용할 경우 시스템이 이러한 결함에 취약합니까?

A: 공격자는 기본 DNS 보호를 우회하기 위해 추측이 필요하기 때문에 사설 네트워크에서 취약한 dnsmasq 인스턴스에 대량의 DNS 쿼리를 제출해야 합니다. DNS 쿼리는 네트워크의 시스템을 완전히 제어하는 것 부터 네트워크에 연결된 사용자를 속여 이메일이나 웹 사이트를 열도록 유도하는 등 다양한 방식으로 트리거될 수 있습니다. 충분한 수의 DNS 쿼리를 보낼 수 있으면 사설 네트워크에서도 이러한 취약점을 악용할 수 있습니다.

Q: 시스템에서 libvirt를 사용하는 경우 이러한 취약점을 사용하여 게스트호스트 간 이스케이프를 수행할 수 있습니까?

A: 공격자는 이러한 취약점을 사용하는 공격을 시작하기 위해 게스트 중 한 명과 일종의 협업이 필요합니다. 공격자가 게스트 시스템에서 dnsmasq에 대한 여러 DNS 쿼리를 시작할 수 있는 경우 이 문서에서 발표된 결함을 악용하여 캐시 중독을 발생시킬 수 있습니다. libvvirt(기본 구성이 아닌 구성)에서 사용하는 dnsmasq에서 DNSSEC를 수동으로 구성한 경우 호스트 시스템에서 코드를 실행하거나 DNSmasq 서버를 중지할 수도 있습니다.

Q: dnsmasq 패키지를 업그레이드한 후 시스템이 취약하지 않도록하려면 어떤 단계가 필요합니까?

A: 모든 실행 중인 dnsmasq 인스턴스를 다시 시작해야 합니다. 가장 간단한 방법은 가상화 호스트 및 게스트를 포함하여 dnsmasq가 실행중인 모든 시스템을 다시 시작하는 것입니다. dnsmasq 인스턴스는 libvirt 및 기타 시스템 구성 요소에서 실행할 수 있으므로 이러한 구성 요소를 다시 시작해야 합니다. 재부팅하지 않고 이러한 인스턴스를 다시 시작하려면 구성 요소마다 다른 절차가 필요합니다. 예를 들어 dnsmasq를 사용하는 모든 libvirt 네트워크를 다시 시작하고 각 가상 머신에 다시 연결해야 합니다. 이는 잠재적으로 복잡하고 생산성이 저하되는 절차이며 각 환경에 대해 개별적으로 조정하고 테스트해야 합니다.

감사 인사

Red Hat은 이 취약점을 보고해 주신 Moshe Kol과 Shlomi Oberman (JSOF)에게 감사드립니다.

참고 자료

JSOF research article on DNSpooq

How to use GPG to verify signed content from Product Security