킹스팬이라는 회사에서 만드는 물 탱크 관리 시스템의 취약점...패치 의사 없는 듯

요약 : 보안 외신 시큐리티위크에 의하면 전 세계 곳곳에서 사용되고 있는 물 탱크 관리 시스템인 TMS300 CS에서 패치가 되지 않은 보안 취약점이 발견됐다고 한다. 초고위험도 취약점에 해당하는 오류로, 원격에서 익스플로잇 공격이 가능하다. 원격 익스플로잇 후에 공격자는 물 탱크 상태를 열람하고 심지어 조작까지 할 수 있다고 한다. 하지만 벤더사인 킹스팬(Kingspan) 측에서는 패치를 개발할 의지가 전혀 없어 보인다. 취약점 관리 번호는 CVE-2022-2757이며, CVSS 기준 9.8점을 받았다.


배경 : 미국의 사이버 보안 전담 기관인 CISA에 의하면 TMS300 CS는 세계 곳곳에서 사용되는 장비로, 물 공급 장치 관리에 필수적인 요소 중 하나라고 한다. 하지만 킹스팬은 CISA의 협력 요청에 응하지 않고 있다고 하며, 따라서 고객들 개개인이 킹스팬에 연락을 해 상세한 정보를 파악해야 할 것이라고 CISA는 조언했다.

말말말 : “공격자들은 해당 시스템에 아무런 인증 없이도 접속할 수 있습니다. 그저 장비의 URL만 찾아내면 됩니다. URL은 브루트포스 공격으로 충분히 알아낼 수 있고요.” -맥심 루프(Maxim Rupp)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>