기술 지원
문서
로그인
문의하기
연구진이 발견한 새로운 Modicon PLC 취약점
2023년 2월 27일 TuxCare 홍보팀
포어스카우트 연구원들은 슈나이더 일렉트릭의 Modicon PLC(프로그래머블 로직 컨트롤러)에서 인증 우회 및 원격 코드 실행을 허용할 수 있는 두 가지 새로운 취약점을 발견했습니다.
CVE-2022-45788(CVSS 점수: 7.5) 및 CVE-2022-45789(CVSS 점수: 8.1)로 식별되는 이 결함은 포어스카우트에서 OT:ICEFALL로 식별되는 대규모 보안 결함 모음의 일부입니다. 이 버그를 성공적으로 익스플로잇하는 공격자는 권한이 없는 코드를 실행하거나 서비스 거부를 유발하거나 민감한 정보를 공개할 수 있습니다.
인증되지 않은 원격 코드 실행, 취약한 암호 취약성, 파일 업로드 취약성 등이 결함 중 하나입니다. 연구원들은 이러한 결함을 이용하여 ICS 네트워크를 통해 측면으로 이동하여 추가 PLC를 손상시키고 결국 장비에 물리적 손상을 일으켰습니다.
https://tuxcare.com/whitepapers/crowdstrike/
이 취약점은 M221, M221 Book, M241 및 M251을 포함한 여러 Modicon PLC 모델에 영향을 미칩니다. 이 결함은 인증 없이도 악용될 수 있어 공격자가 사용자 이름이나 비밀번호가 없어도 악용할 수 있다는 점에서 특히 우려되는 부분입니다.
공격자는 Modicon PLC와 통신하기 위해 Wago 커플러의 취약점을 악용하여 공격을 시작합니다. 그런 다음 공격자는 PLC의 UMAS 서비스 인증을 우회하고 PLC에서 원격 코드 실행을 달성하여 브리지 제어 시스템 내부에 액세스합니다.
해커는 컨트롤러에 연결된 현장 장치를 조작할 수 있습니다. 위협 행위자는 물리적 피해를 입히기 전에 사고를 방지하도록 설계된 Allen Bradley 안전 컨트롤러의 원격 코드 실행 취약점을 이용합니다.
공격 방법은 은밀하기 때문에 해커는 의심을 받지 않고 다양한 악의적인 활동을 할 수 있습니다.
슈나이더는 이 두 가지 버그가 공개되기 전에 고객과 협력하여 문제를 해결할 수 있도록 연구원들에게 ICEFALL 목록에 포함하지 말 것을 요청했습니다. 두 가지 결함인 CVE-2022-45788과 CVE-2022-45789는 슈나이더의 PLC(프로그래머블 로직 컨트롤러) 제품군인 Modicon Unity에 영향을 미칩니다.
이후 슈나이더 일렉트릭은 해당 취약점을 인정하고 이를 해결하기 위한 패치를 배포했다고 밝혔습니다.
이 글의 출처는 TheHackerNews의 기사입니다.
