산업 자동화 시스템의 중요한 결함은 원격 해킹으로 이어진다 침해사고분석팀 2020.11.30 |
|
보안 업체 Claroty의 보안 연구원은 원격 공격자가 산업 제어 시스템을 해킹하는 데 악용할 수 있는 RTA(Real-Time Automation) 499ES EtherNet/IP(EnIP) 스택에서 중요한 결함을 발견했다.
CVE-2020-25159로 추적된 이 결함은 업계 표준 CVSS(Common Vulnerability Scoring System)에서 심각도 10점 만점에 9.8점으로 평가되었으며, 2012년 11월 21일에 출시된 2.28 이전 버전의 EtherNet/IP 어댑터 소스 코드 스택에 영향을 미친다.
실시간 자동화(RTA)의 ENIP 스택은 산업 자동화 시스템에서 널리 구현된다.
"Claroty는 자사의 독점적인 499ES EtherNet/IP(EnIP) 스택에 심각한 취약점을 공급업체에 알려줌으로써 실시간 자동화(RTA)에 대한 세부 사항을 비공개로 공개했다. 이 취약점은 DoS를 일으킬 수 있으며, 다른 조건에 따라 이전 버전의 프로토콜을 실행하는 장치가 원격 코드 실행에 노출될 수 있다."고 Claroty에서 보안 권고 사항을 게시했다.
Brizinov는 보안 권고안을 발표한 미국 CISA에 스택 오버플로 문제를 보고했다.
해당 취약점을 성공적으로 악용하면 서비스 거부 상태가 발생할 수 있으며 버퍼 오버플로우로 인해 원격 코드가 실행될 수 있다"고 CISA는 밝혔다.
영향을 받은 제품은 스택 기반 버퍼 오버플로우에 취약해 공격자가 특수하게 조작된 패킷을 전송하여 서비스 거부 상태나 코드가 실행될 수 있다.
전문가들은 Shodan.io와 같은 인터넷 연결 장치 검색 엔진을 사용하여 ENIP 호환 인터넷 연결 장치를 검색했으며 온라인에 노출된 8,000개 이상의 시스템을 발견했다.
"Claroty 연구원들은 32개의 고유한 ENIP 스택을 식별하는데 290개의 고유한 ENIP 호환 장치를 스캔할 수 있었다. 11대의 장치가 6개의 고유 공급업체의 제품에서 RTA의 ENIP 스택을 탑재하고 있는 것으로 파악됐다.
운영자는 해당 취약점을 해결하기 위해 ENIP 스택을 최신 버전으로 업데이트해야 한다. CISA는 이 취약점의 악용 위험을 최소화하기 위해 다음과 같은 권고사항을 제공했다.
- 모든 제어 시스템 장치 또는 시스템에 대한 네트워크 노출을 최소화하고 인터넷에서 액세스할 수 없도록 하십시오.
- 방화벽 뒤에 있는 제어 시스템 네트워크 및 원격 장치를 찾아 비즈니스 네트워크로부터 격리하십시오.
- 원격 액세스가 필요한 경우 VPN(Virtual Private Networks)과 같은 보안 방법을 사용하여 VPN에 취약성이 있을 수 있으므로 사용 가능한 최신 버전으로 업데이트하십시오. 또한, VPN은 연결된 장치만큼 안전하다는 것을 인식하십시오.
출처 https://securityaffairs.co/wordpress/111646/ics-scada/automation-systems-opens-flaw.html |