NSHC Red Alert팀 취약점 분석 보고서 발표
Winlog 스카다 프로그램은 데이터를 수집, 감시, 제어하는 프로그램이다. 이 프로그램을 TCP/IP 서버로 사용해 로그 정보를 수집할 경우 TCP를 사용해 버퍼 이상의 문자열을 보낼 경우 크래쉬가 발생한다는 것이 밝혀졌다.NSHC(대표 허영일)의 Red Alert팀은 해당 취약점에 대한 분석 보고서를 지난 15일 발표했다.
<피해자 컴퓨터에서 Winlog 실행 이미지. NSHC 제공>
Sielco Sistemi Winlog Buffer Overflow 취약점 분석 보고서에는 취약점 원리에 대해 “Winlog를 TCP/IP 서버로 사용해 로그 정보를 수집할 경우 공격자가 정상 버퍼 이상의 문자열을 전송해 크래쉬가 발생한다. 이를 이용해 EIP를 변조시키는 문자열과 공격 쉘코드를 전송한다”며 “변조가 되면 쉘코드 검색이 이루어지며 검색이 끝난 후 공격자가 컴퓨터로 접속되는 리버스 쉘코드가 실행되며 공격자 컴퓨터에 접속이 된다. 공격자는 피해자 컴퓨터의 제어권을 가지게 된다”고 경고했다.
대응방안으로는 “원격 전송으로 정상 버퍼 이상의 문자열이 들어왔을 때의 문제이기 때문에 전송을 받을 소켓의 문자열 길이를 체크하는 코드를 추가하거나 전송되는 패킷의 길이를 체크하는 체크섬 부분을 추가하면 된다”고 조언했다.
해당 취약점 보고서는 NSHC Red Alert팀 페이스북 페이지나 데일리시큐 자료실에서 다운로드 할 수 있다.
- NSHC Red Alert팀: www.facebook.com/#!/R3d4l3rt.Notice
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
