보안정보

글로벌 정보보안 리더 윈스

산업 자동화 시스템의 중요한 결함은 원격 해킹으로 이어진다

침해사고분석팀 2020.11.30

보안 업체 Claroty의 보안 연구원은 원격 공격자가 산업 제어 시스템을 해킹하는 데 악용할 수 있는 RTA(Real-Time Automation) 499ES EtherNet/IP(EnIP) 스택에서 중요한 결함을 발견했다.

 

CVE-2020-25159로 추적된 이 결함은 업계 표준 CVSS(Common Vulnerability Scoring System)에서 심각도 10점 만점에 9.8점으로 평가되었으며, 2012년 11월 21일에 출시된 2.28 이전 버전의 EtherNet/IP 어댑터 소스 코드 스택에 영향을 미친다.

 

실시간 자동화(RTA)의 ENIP 스택은 산업 자동화 시스템에서 널리 구현된다.

 

"Claroty는 자사의 독점적인 499ES EtherNet/IP(EnIP) 스택에 심각한 취약점을 공급업체에 알려줌으로써 실시간 자동화(RTA)에 대한 세부 사항을 비공개로 공개했다. 이 취약점은 DoS를 일으킬 수 있으며, 다른 조건에 따라 이전 버전의 프로토콜을 실행하는 장치가 원격 코드 실행에 노출될 수 있다."고 Claroty에서 보안 권고 사항을 게시했다.

 

Brizinov는 보안 권고안을 발표한 미국 CISA에 스택 오버플로 문제를 보고했다.

 

해당 취약점을 성공적으로 악용하면 서비스 거부 상태가 발생할 수 있으며 버퍼 오버플로우로 인해 원격 코드가 실행될 수 있다"고 CISA는 밝혔다. 

 

영향을 받은 제품은 스택 기반 버퍼 오버플로우에 취약해 공격자가 특수하게 조작된 패킷을 전송하여 서비스 거부 상태나 코드가 실행될 수 있다.

 

전문가들은 Shodan.io와 같은 인터넷 연결 장치 검색 엔진을 사용하여 ENIP 호환 인터넷 연결 장치를 검색했으며 온라인에 노출된 8,000개 이상의 시스템을 발견했다.

 

 

산업 자동화 시스템 RTA-ENIP-BLOG-IMAGE-1-1024x580

 

 

"Claroty 연구원들은 32개의 고유한 ENIP 스택을 식별하는데 290개의 고유한 ENIP 호환 장치를 스캔할 수 있었다. 11대의 장치가 6개의 고유 공급업체의 제품에서 RTA의 ENIP 스택을 탑재하고 있는 것으로 파악됐다.

 

운영자는 해당 취약점을 해결하기 위해 ENIP 스택을 최신 버전으로 업데이트해야 한다. CISA는 이 취약점의 악용 위험을 최소화하기 위해 다음과 같은 권고사항을 제공했다.

 

 

- 모든 제어 시스템 장치 또는 시스템에 대한 네트워크 노출을 최소화하고 인터넷에서 액세스할 수 없도록 하십시오.

 

- 방화벽 뒤에 있는 제어 시스템 네트워크 및 원격 장치를 찾아 비즈니스 네트워크로부터 격리하십시오.

 

- 원격 액세스가 필요한 경우 VPN(Virtual Private Networks)과 같은 보안 방법을 사용하여 VPN에 취약성이 있을 수 있으므로 사용 가능한 최신 버전으로 업데이트하십시오. 또한, VPN은 연결된 장치만큼 안전하다는 것을 인식하십시오.

 

 

출처

https://securityaffairs.co/wordpress/111646/ics-scada/automation-systems-opens-flaw.html