오스트리아의 산업 자동화 제품에서 연쇄 익스플로잇 가능한 취약점 3개 나와
여러 산업에서 사용돼 미국 CISA가 경고문을 공식 발표할 정도...패치 일부 발표

[보안뉴스 문가용 기자] 자동화 소프트웨어 개발사인 B&R 오토메이션(B&R Automation)에서 개발한 오토메이션 스튜디오(Automation Studio)에서 취약점이 몇 가지 발견됐다. 이를 익스플로잇 할 경우 악성 행위자들이 OT 네트워크 내에 침투해 여러 가지 공격을 할 수 있다고 한다.


B&R 오토메이션은 오스트리아의 회사로, 산업 현장에서 사용되는 산업용 PC, HMI, PLC, 안전 제어 장치, 모션 제어 장치, 통신 제품 등을 주로 공급한다. 이 중 오늘 문제가 된 오토메이션 스튜디오는 개발 및 런타임 환경을 제공하는 솔루션으로 제어, HMI, 운영, 안전 등의 요소를 갖추고 있다.

미국 국토안보부 산하 사이버 보안 담당 기관인 CISA가 공식 발표한 바에 의하면 “B&R 오토메이션의 제품들은 세계 곳곳에서 사용되고 있으며, 특히 에너지, 화학, 제조 분야에서 활용도가 높다”고 한다. 그러면서 CISA는 “이 인기 높은 솔루션에서 취약점들이 발견되었으니 주의하라”고 경고했다.

CISA의 경고문은 여기(https://www.us-cert.gov/ics/advisories/icsa-20-051-01)서 열람이 가능하다.

취약점을 제일 먼저 발견한 건 ICS 전문 사이버 보안 업체인 클래로티(Claroty)다. B&R 오토메이션 스튜디오 4에서 세 가지 취약점을 발견한 것. 전부 오토메이션 스튜디오의 업데이트 서비스와 관련이 있으며, 각각 1) 권한 상승 취약점, 2) 암호화 및 검증 미완료 취약점, 3) 임의 파일 덮어쓰기 허용 취약점으로 분류됐다.

클래로티 측은 보안 전문 외신인 시큐리티위크를 통해 공격 시나리오를 다음과 같이 설명했다.
1) B&R 업데이트 서버로 가는 DNS 요청을 중간자 공격으로 가로챈다.
2) 그런 후 공격자 자신이 통제하는 곳에서부터 가짜 업데이트 내용물을 전송한다.
3) 내용물에 대한 검증이 제대로 이뤄지지 않으므로 공격자는 임의의 파일을 보낼 수 있게 된다.
4) 임의의 파일을 덮어쓰기 한다.
5) 이를 통해 권한을 시스템(SYSTEM) 수준으로 높인다.

시스템 권한을 취득한 후 공격자들은 PLC나 다른 안전 장치 등에서 취약점을 추가로 찾아내 익스플로잇 할 수 있게 된다. 그러면서 시스템을 마비시키는 디도스 공격이나 정보 탈취 공격 등을 실시하는 것도 가능하게 된다고 한다.

이에 B&R 오토메이션 측은 공식 발표문을 통해 “취약점들이 실제 공격에 악용된 사례나 흔적을 찾을 수 없었다”고 주장했다. 그러면서 시급한 버전들에 대한 보안 패치를 배포하기 시작했다. 나머지 버전들에 대한 패치도 개발 중에 있다. 패치는 여기(https://www.br-automation.com/en/downloads/#)서 다운로드가 가능하다.

3줄 요약
1. 인기 높은 산업 자동화 솔루션, B&R 오토메이션 스튜디오에서 취약점 세 개 발견됨.
2. 연쇄적으로 익스플로잇 할 경우 산업망 내에 침투해 권한을 상승시킬 수 있음.
3. 권한 상승시킨 뒤 추가 멀웨어 다운로드 받아 다양한 공격 이뤄갈 수 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>