• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

슈나이더 일렉트릭 제품에서 스턱스넷 연상케 하는 취약점 나와 2020.05.08

CVE-2020-7475와 CVE-2020-7489...악성 DLL 주입하게 해주는 위험한 취약점
과거 스턱스넷 공격도 악성 DLL을 PLC에 주입하는 방식으로 이뤄졌었는데

[보안뉴스 문가용 기자] 슈나이더 일렉트릭(Schneider Electric)에서 만든 소프트웨어에서 악명 높은 스턱스넷(Stuxnet) 공격을 연상시키는 취약점이 발견됐다. 스턱스넷은 미국과 이스라엘이 이란의 핵 시설을 공격하기 위해 고안한 멀웨어인 것으로 알려져 있으며, 당시 지멘스에서 만든 SIMATIC S7-300과 S7-400 PLC들에서 발견된 취약점이 겨냥됐다. 스턱스넷은 PLC 장비들의 DLL 파일을 악성 DLL 파일로 대체함으로써 시스템에 로딩됐다.

[이미지 = iclickart]


지난 3월 에어버스 사이버시큐리티(Airbus Cybersecurity)의 보안 전문가들은 슈나이더 일렉트릭의 에코스트럭슈어 컨트롤 엑스퍼트(EcoStruxure Control Expert)라는 엔지니어링 소프트웨어에서 취약점을 하나 발견했다. 에코스트럭슈어 컨트롤 엑스퍼트는 이전에 유니티 프로(Unity Pro)라는 이름으로 유통됐었다.

이 취약점은 CVE-2020-7475로, 악성 코드를 모디콘 M340과 M580이라는 PLC들에 주입하도록 해준다. 스턱스넷의 경우처럼 정상 DLL을 악성 DLL로 바꿔치기 하는 방식으로 코드 주입이 가능하다.

그런데 또 다른 보안 업체 트러스트웨이브(Trustwave)의 보안 전문가들도 슈나이더의 소프트웨어에서 스턱스넷을 연상케 하는 취약점을 발견했다고 별도의 보고서를 발표했다. 트러스트웨이브는 이전에 소머신(SoMachine)으로 유통되었던 에코스트럭슈어 머신 엑스퍼트(EcoStruxure Machine Expert)를 지목했다.

이 취약점은 CVE-2020-7489로, 상세 설명이 위 7475번의 그것과 거의 비슷하다. 둘 다 CVSS를 기준으로 8.2점을 받았다. 현재 CVSS 8.2점이면 고위험군으로 분류될 정도로 위험한 취약점을 나타낸다.

슈나이더는 두 가지 취약점 모두에 대한 패치를 발표했다. 패치와 함께 발표된 보안 권고문에 의하면 CVE-2020-7489의 경우 공격자가 로컬 사용자와 같은 컨텍스트에 있어야 악성 DLL 삽입을 할 수 있다고 한다. 제한 사항이긴 하지만 관리자급으로 높은 권한이 없어도 된다는 뜻이다. 스턱스넷 당시 공격을 입은 장비들은 망분리까지 되어 있었지만 소용이 없었다는 걸 생각하면, 이 역시 극복 가능한 제한 사항으로 보인다.

트러스트웨이브는 2017년 슈나이더의 PLC에서 공격자가 실행, 중단, 업로드, 다운로드와 같은 명령을 실행할 수 있도록 해주는 치명적인 취약점인 CVE-2017-6034에 대한 보안 경고문을 고객들에게 보낸 바 있다. 얼마 지나지 않아 슈나이더는 이 취약점을 패치했다.

그런데 지난 해 트러스트웨이브는 에코스트럭슈어 머신 엑스퍼트와 PLC 간 존재하는 세션을 활용함으로써 CVE-2017-6034에 대한 익스플로잇이 여전히 가능하다는 걸 증명했다. 결국 슈나이더 측은 이 때문에 2019년 8월, CVE-2017-6034에 대한 보안 권고문을 최신화 할 수밖에 없었다.

슈나이더 일렉트릭 측의 보안 권고문은 여기(https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-105-01_Modicon+M100_M200_M221_and_EcoStruxure%E2%84%A2_Machine+Expert_Basic_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-105-01)서 열람이 가능하다. 트러스트웨이브의 보고서는 여기(https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/vulnerabilities-in-schneider-electric-somachine-and-m221-plc/)서 열람할 수 있다.

3줄 요약
1. 슈나이더 일렉트릭이 만든 소프트웨어 일부에서 위험한 취약점 발견됨.
2. 공격자가 DLL 파일을 악성 DLL로 바꿔치기 할 수 있게 해주는 것으로, 스턱스넷을 연상케 함.
3. 슈나이더 측은 패치 개발해 배포 중. 사용 기업들은 빠르게 패치 적용하는 게 안전함.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>