상세 컨텐츠

본문 제목

산업 자동화 시스템에서 원격 해킹을 허용하는 치명적인 취약점 발견

국내외 보안동향

by 알약4 2020. 11. 30. 14:00

본문

A critical flaw in industrial automation systems opens to remote hack

 

전문가들이 RTA(Real-Time Automation) 499ES EtherNet/IP 스택에서 산업용 제어 시스템을 해킹하는데 악용될 수 있는 치명적인 취약점을 발견했습니다.

 

CVE-2020-25159로 등록된 이 취약점은 CVSS 심각도 점수 10점 만점에 9.8을 기록했습니다. 이는 20121121일 공개된 버전 2.28 이전 모든 EtherNet/IP 아답터 소스코드 스택에 영향을 미칩니다.

 

“ClarotyRTA측에 499ES EtherNet/IP 스택에 존재하는 취약점을 비공개로 전달했습니다. 이 취약점은 서비스 거부(DoS)를 유발할 수 있으며, 경우에 따라 프로토콜 구버전을 실행하는 장치가 원격 코드 실행에 노출될 수 있습니다.”

 

Claroty는 이 스택 오버플로우 취약점을 미 CISA에도 신고했으며, CISA는 이에 대한 보고서를 발표했습니다.

 

전문가들은 Shodan.io와 같은 인터넷 연결 기기 검색 엔진을 통해 ENIP와 호환 가능한 인터넷 노출 장치들을 검색한 결과 온라인에 8천대 이상의 시스템이 노출된 것을 발견했습니다.

 

 

<이미지 출처: https://www.claroty.com/2020/11/17/blog-research-rta-enip-stack-vulnerability/>

 

 

전문가들은 벤더들이 2012 업데이트 이전에 취약한 스택 버전을 구매해 아직까지 펌웨어에서 사용 중일 것으로 추측했습니다.

 

“Claroty 연구원들은 ENIP 호환 장치 290대 이상을 스캔한 결과 32개의 고유한 ENIP 스택을 식별할 수 있었습니다. 장치 11대는 공급 업체 6곳의 RTA ENIP 스택을 사용하는 것으로 나타났습니다.”

 

이 취약점을 해결하기 위해서는 ENIP 스택을 최신버전으로 업데이트해야 합니다.

 

CISA는 이 취약점이 악용될 수 있는 위험을 최소화 하기 위해 아래 절차를 따를 것을 권장했습니다.

 

- 모든 제어 시스템 장치 및 시스템의 네트워크 노출을 최소화하고 인터넷에서 접근할 수 없도록 설정

- 제어 시스템 네트워크와 원격 장치를 방화벽 뒤에 위치시키고 비즈니스 네트워크에서 격리

- 원격 접근이 필요할 경우 VPN과 같은 안전한 방법 사용

VPN에도 취약점이 존재할 수 있기 때문에 항상 최신 버전 유지

VPN의 보안 수준은 현재 연결 중인 기기와 동일하다는 사실을 기억하기



 

 

 

출처:

https://securityaffairs.co/wordpress/111646/ics-scada/automation-systems-opens-flaw.html

https://www.claroty.com/2020/11/17/blog-research-rta-enip-stack-vulnerability/

https://us-cert.cisa.gov/ics/advisories/icsa-20-324-03


관련글 더보기