스위스의 사우타가 만든 케이스 스위트에서 심각한 취약점 나와
XXE 취약점으로, 익스플로잇 할 경우 임의 파일 가져갈 수 있게 해

[보안뉴스 문가용 기자] 스위스의 빌딩 자동화 전문회사인 사우타(Fr. Sauter AG)의 제품에서 심각한 취약점이 발견됐다. 이 취약점을 악용하면 시스템으로부터 파일을 훔쳐낼 수 있게 된다. 다행히 사우타 측은 취약점이 발견되고 10일만에 패치를 발표했다고 한다.


문제의 제품은 케이스 스위트(CASE Suite)로, 빌딩 자동화 프로젝트를 관리하는 데 사용되는 소프트웨어다. ICS-CERT(산업 통제 시스템 침해 대응 센터)에 따르면 케이스 스위트는 사회 기반 시설 및 생산 분야에서 전 세계적으로 사용되는 솔루션이라고 한다.

산업 시스템의 사이버 보안을 전문으로 하는 기업 어플라이드 리스크(Applied Risk)의 보안 전문가 교코 크르스틱(Gjoko Krstic)에 따르면 케이스 스위트 3.10 및 그 이전 버전들에서 심각도가 높은 XXE(XML External Entity) 취약점이 발견됐다고 한다. 이 취약점에 직접적인 영향을 받고 있는 솔루션은 케이스 컴포넌트(CASE Components), 케이스 센서(CASE Sensors), 케이스 VAV(CASE VAV)라고 한다.

이 취약점은 CVE-2018-17912 번호가 부여됐고, CVSS 점수는 7.5점(ICS-CERT 기준)과 8.6점(어플라이드 리스크 기준)을 받았다. “DTD 매개변수를 통한 익스플로잇 기술을 통해 이 XXE 취약점을 공략할 경우 임의의 데이터가 노출되고, 이를 공격자가 획득할 수 있게 됩니다. XML 파서로 입력되는 데이터가 제대로 확인되지 않기 때문에 발생하는 취약점이기도 합니다.” 어플라이드 리스크 측의 설명이다.

또한 크르스틱은 “피해자가 특수하게 조작된 XML 파일을 취약한 버전의 케이스 스위트를 통해 열도록 유도함으로써 공격을 실시할 수 있다”며 “이메일 등을 통한 소셜 엔지니어링 및 피싱 공격이 많이 시도될 것으로 보인다”고 예상했다.

“혹은 시스템으로의 접근이 이미 가능한 공격자가 악성 파일을 데스크톱 폴더 등에 저장해둠으로써 사용자가 사우터 소프트웨어로 해당 폴더를 탐색하다가 파일을 열어보도록 꾸밀 수도 있습니다. 왜냐하면 케이스 소프트웨어는 사용자가 검색한 폴더 내에 있는 XML 파일을 자동으로 로딩하거든요. 매우 위험한 기능이죠.”

악성 XML 파일이 로딩되기만 하면 공격자가 아무 파일이나 훔칠 수 있게 된다고 크르스틱은 설명한다. “환경설정 데이터, 개인정보, 계정 크리덴셜, 시스템 정보, 네트워크 정보 등이 여기에 포함됩니다. 뿐만 아니라 소프트웨어를 서비스 거부 상태로 만드는 것도 가능합니다.”

다행히 사우터 측은 이 취약점에 대한 정보를 접수받고 나서 빠르게 움직였다. 그리고 10일 만에 패치를 발표했다고 한다. “빌딩 자동화 소프트웨어에서 취약점이 발견되는 건 꽤나 자주 있는 일입니다. 하지만 이러한 오류를 보고했을 때 정정되기까지 수백 일이 걸리기도 합니다. 즉 모든 회사가 패치를 제때 잘 내주지 않는다는 것이죠. 하지만 사우터 측은 이런 면에서 차이점을 보였습니다.”

3줄 요약
1. 빌딩 자동화 소프트웨어인 케이스 스위트에서 취약점 발견.
2. XXE 취약점으로, 익스플로잇 해서 여러 가지 정보를 뺏어갈 수 있음.
3. 제조사인 사우터 측은 10일 만에 패치 발표. 꽤 빠른 움직임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>