인터넷 시스템 컨소시엄(ISC)은 버클리 인터넷 이름 도메인(BIND) 9 도메인 이름 시스템(DNS) 소프트웨어 제품군의 여러 보안 취약점을 해결하기 위한 패치를 출시했습니다. 이 취약점은 서비스 거부(DoS) 공격을 유발하는 데 악용될 수 있습니다.
미국 사이버 보안 및 인프라 보안국(CISA)은 자문에서 “사이버 위협 행위자는 이러한 취약점 중 하나를 악용하여 서비스 거부 상황을 유발할 수 있습니다.”라고 밝혔습니다.
4가지 취약점 목록은 아래와 같습니다.
- CVE-2024-4076(CVSS 점수: 7.5) – 논리 오류로 인해 오래된 데이터를 제공하는 조회와 로컬 권한 영역 데이터에서 필요한 조회가 어설션 실패를 초래할 수 있음
- CVE-2024-1975(CVSS 점수: 7.5) – SIG(0) 프로토콜을 사용하여 서명된 DNS 메시지를 검증하면 과도한 CPU 부하가 발생하여 서비스 거부 조건이 발생할 수 있습니다.
- CVE-2024-1737(CVSS 점수: 7.5) – 지정된 소유자 이름에 대해 지나치게 많은 수의 리소스 레코드 유형을 만들 수 있으며, 이로 인해 데이터베이스 처리 속도가 느려질 수 있습니다.
- CVE-2024-0760(CVSS 점수: 7.5) – TCP를 통해 많은 쿼리를 보냈지만 응답을 읽지 않는 악성 DNS 클라이언트로 인해 다른 클라이언트에 대해 서버가 느리게 응답하거나 전혀 응답하지 않을 수 있습니다.
앞서 언급한 버그를 성공적으로 악용하면 명명된 인스턴스가 예기치 않게 종료되고, 사용 가능한 CPU 리소스가 고갈되고, 쿼리 처리 속도가 100배 느려지고, 서버가 응답하지 않을 수 있습니다.
이러한 결함은 이번 달 초에 출시된 BIND 9 버전 9.18.28, 9.20.0, 9.18.28-S1에서 해결되었습니다. 야생에서 이러한 결함이 악용되었다는 증거는 없습니다.
ISC가 KeyTrap(CVE-2023-50387, CVSS 점수: 7.5)이라는 BIND 9의 또 다른 결함을 해결한 지 몇 달 후에 이 사실이 공개되었습니다. 이 결함은 CPU 리소스를 고갈시키고 DNS 확인자를 지연시켜 서비스 거부(DoS)를 초래할 수 있습니다.