지난 4 13일경, Windows 2000/2003 Server 제품군에서 운영되는 DNS 서비스에 대한 RPC 원격 코드 실행 취약점이 발표되었습니다. 지난 자료에서도 언급했었지만, 현재 공식 패치는 제공되지 않은 상태이며, 대안으로 RPC 관련 레지스트 수정과 방화벽에서 해당 포트 범위(1025-5000)를 차단하는 방법이 소개되었습니다.

 
하지만, 대안을 조치하지 않은 일부 서버 컴퓨터를 노린 새로운 익스플로잇이 발견되고 있다는 소식이 들려 오고 있습니다.

 
이러한 공격을 위한 대부분의 패턴들은 TCP 1025번 포트에 집중되는 것으로 보여지고 있으며, 이를 통해 공격이 올 수 있다는 것을 예견할 수 있습니다. 참고로, TCP 1025 RPC 통신을 위해 가장 많이 시도되는 포트입니다.

 
통상적인 서버의 트래픽을 살펴 보면, TCP 1025번은 초당 30회에서 최대 100회 정도까지 발생합니다. 하지만, 1400회부터 1500회 그리고 최대 8000회까지도 나타납니다.

 
업무 특성상 패치되지 않은 DNS 서버를 운영하는 관리자는 이 점을 주목해야 할 것으로 생각됩니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요



    Web Analytics Blogs Directory