크리덴셜 탈취, 디도스 공격, XSS 주입, CSRF 등 가능케 해주는 취약점
지원 시기 지나 패치 나오지 않을 듯...방화벽 설치와 웹 서버 옵션 변경 필요

[보안뉴스 문가용 기자] 슈나이더의 모디콘 퀀텀(Modicon Quantum) PLC에서 다수의 취약점이 발견됐다. 이 취약점의 직접적인 영향을 받는 건 M340 프리미엄(Premium), 퀀텀 PLC(Quantum PLC), BMXNOR0200 제품군이라고 한다.


먼저 모디콘 퀀텀 제품군은 생산 공장이나 발전소 등과 같은 환경에서 복잡한 공정 제어 및 안전 관리를 담당하고 있는데, 공격자가 사용자의 비밀번호를 임의로 변경할 수 있게 해주는 취약점이 여기서 나타났다. 관리자 비밀번호를 변경 및 삭제할 수도 있어 심각할 수 있는 취약점으로 분석됐다. 슈나이더의 11월 27일자 블로그에 따르면 웹 서버 크리덴셜도 공격자가 조작할 수 있다고 한다.

그러면서 슈나이더 측은 “모디콘 PLC 제품의 보호와 안전한 사용을 위해 필요한 조치를 취할 것을 권고한다”고 쓰기도 했다. “공격자가 이 취약점을 성공적으로 공략할 경우, PLC 시스템으로의 임의 접근이 가능하게 될 뿐만 아니라 디도스 공격 등의 악성 행위를 실행시킬 수 있게 됩니다.”

또한 웹 애플리케이션 취약점 두 개가 추가로 발견되기도 했다. 하나는 XSS 공격과 관련된 것으로 CVE-2018-7810라는 번호를 부여받았으며, 다른 하나는 CSRF 오류인 CVE-2018-7831이다. 첫 번째 오류를 공략하면 공격자가 자바스크립트를 name 매개변수에 주입함으로써 클라이언트가 실행시키도록 유도할 수 있다.

CSRF 오류인 CVE-2018-7831의 경우 익스플로잇에 성공했을 때 공격자가 피해자에게 전달되는 링크를 조작할 수 있게 해준다. 피해자가 이를 클릭하면 공격자가 피해자의 비밀번호를 바꿀 수 있게 된다.

이 세 가지만이 아니다. 모디콘 PLC에서는 두 개의 서비스 마비 취약점이 발견되기도 했는데, 하나는 웹 서버로 특수하게 조작된 요청을 보냄으로써 발동시킬 수 있다. 이 경우 웹 서버가 서버를 1분 동안 접근 불가 상태로 만들 수 있다. 이 취약점은 CVE-2018-7830이다. 다른 하나는 슈나이더 모드버스(Schneider Modbus) 기능에서 발견된 것으로, 통신 모듈을 완전히 마비시킬 수 있게 해준다.

아쉽게도 이 취약점들에 대한 패치가 한 동안 나오지 않을 것으로 보인다. 퀀텀 제품군에 대한 지원이 이미 종료되었기 때문이다. 그래서 산업 시스템 보안 전문가들은 “모디콘 PLC의 디폴트 옵션 중 웹 서버 부분을 비활성화 시키라”고 권고하고 있다.

그 외에도 1) 접근 제어 목록을 편집해 웹 서버의 접근을 특정 IP 주소에서만 가능하도록 제한하고, 2) 모디콘 제품으로의 모든 접근 시도가 방화벽을 반드시 통과하도록 만들라는 권고도 있었다.

3줄 요약
1. 슈나이더의 모디콘 PLC 제품군에서 취약점 다수 발견됨.
2. 하지만 모디콘 PLC 제품군은 수명이 끝난 상태라 패치 안 나올 가능성 높음.
3. 웹 서버로의 접근 제한하고, 방화벽 설치하는 등의 조치 취해야 안전함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>