기술 지원
문서
로그인
문의하기
자동화된 산업용 컨트롤러를 표적으로 삼아 악용되는 새로운 결함 세 가지
2022년 12월 14일 TuxCare 홍보팀
베데레 랩 연구원들은 최근 OT:ICEFALL로 통칭되는 긴 결함 목록에서 세 가지 새로운 보안 결함을 발견했습니다.
이 결함은 독일의 두 공급업체인 Festo와 CODESYS의 운영 기술(OT) 제품에 영향을 미치는 것으로 알려져 있으며, 자동화된 산업용 컨트롤러와 주요 인프라에서 수백만 개의 스마트 디바이스를 프로그래밍하는 데 사용되는 인기 있는 소프트웨어를 공격하는 데 사용될 수 있으며 다양한 산업 분야의 디바이스 제조업체에 영향을 미칠 수 있습니다.
이 버그는 CVE-2022-4048로 추적되며, CODESYS V3 버전 3.5.18에 영향을 미치고 논리적으로 조작합니다. Festo CPX-CEC-C1 및 CPX-CMXX Codesys V2 컨트롤러에 영향을 미치는 CVE-2022-3079 취약점은 중요한 웹 페이지 기능에 대한 인증되지 않은 원격 액세스를 허용하여 잠재적으로 서비스 거부를 초래할 수 있습니다. CVE-2022-3270 FGMC 프로토콜을 사용하는 Festo 컨트롤러는 인증되지 않은 네트워크 컨트롤러 재부팅을 허용합니다.
이들은 모두 제조업체가 인증 없이 액세스할 수 있는 위험한 기능을 포함하는 안전하지 않은 설계 방식을 사용하거나 암호화와 같은 보안 제어를 제대로 구현하지 않은 것을 지적합니다.
애플리케이션 암호화는 다운로드 코드 및 부팅 애플리케이션의 암호화를 보장하기 위해 CODESYS V3 런타임 환경에서 제공됩니다. CODESYS 런타임은 Festo를 비롯한 전 세계 수백 개의 장치 제조업체에서 사용합니다. 3.5.18.40 버전 이전의 CODESYS V3는 다운로드 코드 및 부팅 애플리케이션에 취약한 암호화를 사용하여 공격자가 세션 키를 무차별 대입하여 보호된 코드를 쉽게 해독하고 조작할 수 있는 것으로 밝혀졌습니다.
반면에 Festo CPX-CEC-C1 및 CPX-CMXX 컨트롤러는 중요한 웹 페이지 기능에 대한 인증되지 않은 원격 액세스를 허용합니다. 컨트롤러에 네트워크 액세스 권한이 있는 사람은 누구나 컨트롤러의 파일 시스템에 숨겨진 웹 페이지로 이동할 수 있으며, 이로 인해 컨트롤러가 재부팅되고 잠재적으로 서비스 거부가 발생할 수 있습니다.
또한 FGMC(Festo Generic Multicast) 프로토콜을 사용하는 Festo 컨트롤러를 사용하면 인증되지 않은 컨트롤러 재부팅 및 기타 민감한 작업을 수행할 수 있습니다. FGMC를 통해 통신하는 Festo 필드 장치 도구도 동일한 효과를 얻을 수 있습니다. 운영자가 명령을 내릴 수 있는 PLC 브라우저 도구는 인증 없이도 컨트롤러를 재부팅하는 데 사용할 수 있습니다.
위험 감소를 위한 권장 사항 OT 디바이스는 미션 크리티컬한 특성으로 인해 패치 또는 교체가 어렵기 때문에, 포어스카우트는 조직이 최신 위협 인텔리전스를 기반으로 증가된 공격 표면을 우선적으로 보호하는 완화 전략을 구현할 것을 권장합니다.
그 외에도 CPX-CEC-C1 컨트롤러를 포함한 여러 Festo 디바이스가 이전에 공개된 두 가지 오래된 소프트웨어 결함에 취약한 CODESYS 구성과 함께 배송된 것으로 조사되었습니다.
이 글의 출처에는 SCMedia의 기사가 포함되어 있습니다.
