2024-03-19 14:40 (화)
CISA, 주요 산업 제어시스템에서 심각한 보안 취약점 발견...주의보 발령
상태바
CISA, 주요 산업 제어시스템에서 심각한 보안 취약점 발견...주의보 발령
  • 페소아 기자
  • 승인 2023.03.23 15:37
이 기사를 공유합니다

미국 CISA는 지난 21일 델타 일렉트로닉스와 로크웰 오토메이션 장비에 영향을 미치는 치명적인 결함을 발견하고 주의보를 발령했다. 이번에 발견되 취약점은 8개의 산업 제어 시스템(ICS)에서 발견됐다. 

이번 취약점에는 실시간 장치 모니터링 소프트웨어인 델타 일렉트로닉스의 InfraSuite Device Master의 1.0.5 이전의 모든 버전에 영향을 주는 13개 보안 취약점이 포함된다. 

CISA는 "이러한 취약점을 성공적으로 악용하면 인증되지 않은 공격자가 파일 및 자격 증명에 대한 액세스 권한을 얻고 권한을 확대하여 원격으로 임의 코드를 실행할 수 있다."라고 말했다.

최상위는 CVE-2023-1133으로, InfraSuite Device Master가 확인되지 않은 UDP 패킷을 수락하고 콘텐츠를 역직렬화하여 인증되지 않은 원격 공격자가 임의 코드를 실행할 수 있는 치명적인 결함이다.

CVE-2023-1139 및 CVE-2023-1145도 원격 코드 실행을 위해 무기화될 수 있다고 CISA는 경고했다. Piotr Bazydlo와 익명의 보안 연구원은 취약점을 발견하고 CISA에 보고한 공로를 인정받았다.

또 다른 취약점 세트는 로크웰 오토메이션의 ThinManager ThinServer와 관련이 있으며 아래 버전의 클라이언트 및 RDP(원격 데스크톱 프로토콜) 서버 관리 소프트웨어에 영향을 미친다.

가장 심각한 문제는 CVE-2023-28755 및 CVE-2023-28756으로 추적되는 두 가지 경로 통과(path traversal) 결함으로, 인증되지 않은 원격 공격자가 ThinServer.exe가 설치된 디렉터리에 임의 파일을 업로드할 수 있다.

더욱 문제가 되는 것은 공격자가 CVE-2023-28755를 무기화하여 기존 실행 파일을 트로이 목마 버전으로 덮어쓰고 잠재적으로 원격 코드 실행으로 이어질 수 있다는 것이다.

CISA는 "이러한 취약점을 성공적으로 악용하면 공격자가 잠재적으로 대상 시스템/장치에서 원격 코드 실행을 수행하거나 소프트웨어를 충돌시킬 수 있다."라고 밝혔다.

사용자는 잠재적인 위협을 완화하기 위해 버전 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6 및 13.0.2로 업데이트하는 것이 좋다. ThinManager ThinServer 버전 6.x – 10.x는 사용 중지되어 사용자가 지원되는 버전으로 업그레이드해야 한다.

해결 방법으로 알려진 씬(thin) 클라이언트 및 ThinManager 서버로의 포트 2031/TCP의 원격 액세스를 제한하는 것이다.

이번 공개는 CISA가 로크웰 오토메이션의 ThinManager ThinServer(CVE-2022-38742, CVSS 점수: 8.1)의 심각도가 높은 버퍼 오버플로 취약점에 대해 경고한 지 6개월이 지난 후 공개되었다.

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★