지멘스 시스템의 위부키 솔루션에서 치명적 취약점 한 개
일부는 패치 나오고, 나머지도 개발 중에 있어...일부 포트 차단해야 안전

[보안뉴스 문가용 기자] 지멘스(Siemens)가 다양한 산업 제어 및 유틸리티 제품들에 대한 보안 권고 사항을 총 16개 발표했다. 이 중에는 디지털 저작권 관리 솔루션인 위부키(WibuKey)에서 발견된 치명적인 취약점 한 개에 대한 내용도 포함되어 있다.


이 때문에 영향을 받는 건 SICAM 230이라는 프로세스 통제 시스템이다. SICAM 230은 다양한 ICS 애플리케이션들에서 사용되는 장비로, 에너지, 유틸리티, 스마트 그리드 모니터링 시설에서 널리 활용되고 있다.

SICAM 230의 취약점인 CVE-2018-3991은 CVSS 점수 10점을 받아 ‘치명적’인 위험도를 가진 것으로 분석됐다. 지멘스에 따르면 이 취약점은 22347 포트를 통해 전달되는 조작된 TCP 패킷을 사용해 익스플로잇 가능하며, 힙 오버플로우 상태를 만들고, 이를 통해 원격 코드 실행이 가능하게 된다고 한다.

그 다음으로 높은 점수(CVSS 9.3점)를 기록한 취약점은 CVE-2018-3990이다. 특수하게 조작된 I/O 요청 패킷을 통해 버퍼 오버플로우 상태를 만들 수 있고, 이 때문에 커널 메모리 변형 및 권한 상승 공격을 할 수 있다고 한다. 역시 위부키에서 발견된 취약점이다.

CVE-2018-3991 취약점은 위부키 DRM 6.5 버전 업데이트를 통해 해결이 가능하고, CVE-2018-3990은 외부 방화벽의 22347 포트를 차단함으로써 위험성을 완화시킬 수 있다고 지멘스는 권고했다.

이것 외에도 CVSS 7.5 점을 받은 취약점 세 개도 이번 발표에 포함되었다. 시프로텍(SIPROTEC 5)의 EN100 이더넷 커뮤니케이션 모듈(EN100 Ethernet Communication Module)에서 발견된, DoS 취약점이다.

하나는 장비 내 네트워크 관련 기능에 있는 것으로, CVE-2018-16563이며, 공격 성공 시 장비를 사용할 수 없게 만든다. 두 번째는 CVE-2018-11451이며, 공격자가 특수하게 조작된 패킷을 102/tcp 포트로 전송해 DoS 상태를 만들 수 있다고 한다. 세 번째는 CVE-2018-11452로, 역시 공격자가 102/tcp 포트로 특수하게 조작된 패킷을 전송해 통신 모듈을 DoS 상태로 만들 수 있다.

이 세 가지 DoS 공격이 성립되려면 IEC 61850-MMS 통신이 EN100 모듈 상에서 활성화 되어있어야만 한다. 그러나 이 조건만 갖춰진다면, 사용자의 특정 행위를 유도할 필요가 없어 공격 실현 가능성이 낮다고만은 볼 수 없다.

그 외에도 시프로텍 4의 EN100 이더넷 통신 모듈 및 시프로텍 컴팩트(SIPROTEC Compact)와 레이롤(Reyrolle)의 펌웨어 다운그레이드 취약점(CVE-2018-4838)도 7.5점을 받았다. 이 취약점을 공격하면 인증되지 않은 사용자가 펌웨어를 다운그레이드 해서 다른 취약점을 노릴 수 있게 된다.

그 다음으로는 시마틱(SIMATIC), 시모션(SIMOTION), 시나믹(SINAMIC) 제품군에서도 CVE-2017-12741 취약점이 발견됐다. 원격 공격자들이 특수하게 조작된 패킷을 161 포트로 보내 DoS 공격을 할 수 있게 해준다.

지멘스는 공개된 취약점들 중 일부에 대한 업데이트를 발표한 상태다. 그리고 나머지에 대한 패치도 개발 중에 있다고 한다. 그러면서 CVE-2018-16563 취약점의 경우 패치가 나올 때까지 102/tcp 포트를 차단하는 게 안전하다고 권고했다.

3줄 요약
1. 지멘스 산업 통제 시스템 일부에서 취약점 총 16개 나옴.
2. 치명적인 취약점도 1개 있어 패치가 시급해 보임. 다만 아직 패치가 다 나온 게 아님.
3. 지멘스 제품이 사용되는 현장에서는 보안 권고문 참고해 시정 조치 취해야 안전함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>