하니웰 익스페리온 PKS, ACE 컨트롤러에서 치명적인 취약점 다수 발견

 

 

Multiple Critical Flaws Discovered in Honeywell Experion PKS and ACE Controllers

 

미 CISA 측에서 지난 화요일 Honeywell Experion Process Knowledge System C200, C200E, C300 및 ACE 컨트롤러의 모든 버전에 영향을 미치는 다수의 취약점에 대한 권고를 발표했습니다. 이 취약점을 악용할 경우, 원격 코드 실행 및 서비스 거부(DoS) 조건을 유발할 수 있습니다.

 

하니웰은 올 2월 초 보안 공지를 통해 "악성 공격자가 CCL(Control Component Library)을 수정한 후 컨트롤러에 로드해 컨트롤러가 해당 악성코드를 실행할 수 있었다"라고 밝혔습니다. 이 취약점은 산업 사이버 보안 회사인 Claroty의 Rei Henigman과 Nadav Erez이 발견해 제보했습니다.

 

Experion Process Knowledge System(PKS)은 석유화학 정제소에서부터 원자력 발전소에 이르기까지 다양한 분야에 걸친 대규모 산업 공정을 제어하도록 설계된 분산 제어 시스템(DCS)입니다.

 

 

<이미지 출처 : https://www.honeywellprocess.com/library/support/notifications/Customer/SN2021-02-22-01-Experion-C300-CCL.pdf>

 

 

이 세 가지 취약점은 아래와 같습니다.

 

CVE-2021-38397(CVSS 점수: 10.0) - 위험한 파일 유형 업로드 제한 없음
CVE-2021-38395(CVSS 점수: 9.1) - 다운스트림 컴포넌트에서 사용하는 아웃풋의 특수 요소 부적절한 무효화
CVE-2021-38399(CVSS 점수: 7.5) – 상대적 경로 접근 취약점

 

Claroty에 따르면, 해당 문제는 컨트롤러에서 실행되는 로직을 프로그래밍하는 데 필수적인 코드 다운로드 절차에 존재하기 때문에 공격자가 프로세스를 모방해 임의 CLL 바이너리 파일을 업로드할 수 있게 됩니다.

 

Henigman과 Erez는 "이 장치는 실행파일을 로드할 때 검사를 하지 않기 때문에 공격자가 인증 없이 실행파일을 업로드하고 원격으로 인증되지 않은 네이티브 코드를 실행할 수 있습니다."라고 밝혔습니다.

 

취약점을 성공적으로 악용할 경우 공격자는 승인되지 않은 파일과 디렉터리에 액세스할 수 있으며, 원격으로 임의 코드를 실행해 서비스 거부(DoS) 상태를 유발할 수도 있습니다. 하니웰은 악성코드가 포함되도록 변조된 CCL을 컨트롤러에 로드하는 것을 방지하기 위해서 사용 전에 검증된 각 CCL 바이너리를 암호화 서명하여 추가적인 보안을 강화하는 기능을 통합했습니다.

 

해당 제품을 사용할 경우 취약점 완화를 위해 가능한 빨리 제품을 업데이트할 것을 권장합니다.

 

 

 

 

출처:

https://thehackernews.com/2021/10/multiple-critical-flaws-discovered-in.html

https://us-cert.cisa.gov/ics/advisories/icsa-21-278-04

https://www.honeywellprocess.com/library/support/notifications/Customer/SN2021-02-22-01-Experion-C300-CCL.pdf