산업용 시스템 이더넷/IP 스택에서 심각한 취약점 발견

 

 

Severe Bugs Reported in EtherNet/IP Stack for Industrial Systems

 

미 CISA가 지난 목요일 OpENer Ethernet/IP 스택에 존재하는 취약점 다수에 대해 경고했습니다. 이 취약점을 악용할 경우 산업용 시스템에 DoS 공격, 데이터 유출, 원격 코드 실행 공격 등을 수행할 수 있었습니다.

 

2021년 2월 10일 이전의 모든 OpENer 커밋 및 버전이 이에 취약한 상태입니다. 하지만 아직까지 이 취약점을 악용한 실제 사례는 없었습니다.

 

이 보안 취약점 4개는 운영 기술 보안 회사인 Claroty의 연구원인 Tal Keren, Sharon Brizinov가 발견하여 CISA에 제보하여 알려지게 되었습니다. 또한 Claroty 측에서 확인한 5번째 보안 취약점은 2020년 12월 2일 Cisco Talos에서 이전에 공개한 CVE-2020-13556 취약점입니다.

 

연구원들은 “공격자가 이 취약점을 악용하기 위해서는 특수 제작된 ENIP/CIP 패킷을 기기로 보내기만 하면 된다”고 설명했습니다.

 

CVE-2020-13556은 Ethernet/IP 서버에 존재하는 OOB(Out-of-Bounds) 쓰기 취약점으로 공격자가 원격 코드 실행을 촉발하기 위해 특수 제작된 일련의 네트워크 요청을 보내도록 허용할 수 있습니다. 이는 심각도 10점 만점에 9.8점을 기록했습니다.

 

2020년 10월 OpENer 스택 관리자인 EIPStackGroup에 제보된 다른 취약점 4개는 아래와 같습니다.

 

CVE-2021-27478 (CVSS 점수: 8.2) – CIP(Common Industrial Protocol) 요청을 처리하는 방식에 취약점이 존재하며 DoS 조건이 유발될 수 있음
CVE-2021-27482 (CVSS 점수: 7.5) – OOB(Out-of-Bounds) 읽기 취약점으로 메모리의 임의 데이터를 읽기 위해 특수 제작된 패킷을 악용함
CVE-2021-27500, CVE-2021-27498 (CVSS 점수: 7.5) – 악용할 경우 DoS 조건을 유발할 수 있는 접근 가능한 assertion 취약점 2건

 

OpENer 스택을 사용하는 업체에서는 최신 버전으로 업데이트하는 동시에 인터넷에 대한 모든 제어 시스템 장치의 네트워크 노출을 최소화 하고, 방화벽을 설정하고, 업무용 네트워크에서 격리하는 등의 보호 조치를 취할 것을 권장합니다.

 

Ethernet/IP 스택에서 보안 문제가 발견된 것은 이번이 처음은 아닙니다. 지난 11월, Claroty 연구원들은 산업용 제어 시스템을 원격 공격에 노출시킬 수 있는 RTA(Real-Time Automation) 499ES EtherNet/IP 스택에서 치명적인 취약점을 발견해 공개했습니다.

 

 

 

 

출처:

https://thehackernews.com/2021/04/severe-bugs-reported-in-ethernetip.html

https://us-cert.cisa.gov/ics/advisories/icsa-21-105-02

https://claroty.com/2021/04/15/blog-research-fuzzing-and-pring/