• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

세코미아, 목사, HMS에서 만든 산업용 VPN 제품에서 취약점 발견 2020.07.30

코로나로 공장 및 시설 관리자들도 집에서 VPN으로 OT 네트워크와 장비 점검
산업 전문 VPN 제품들에서 원격 코드 실행 취약점 발견돼...물리 피해로 이어질 수 있어

[보안뉴스 문가용 기자] 일부 VPN 제품들에서 발견된 원격 코드 취약점들이 산업 현장에서 물리적 피해를 일으킬 수 있다는 연구 보고서가 발표됐다. 보안 업체 클래로티(Claroty)에 의하면 여러 산업 시설의 관리자들이 OT 망에 원격 접근하기 위해 VPN 제품들을 사용할 때가 많은데, 이 지점에서 치명적인 공격이 발생할 수 있다고 한다.

[이미지 = utoimage]


특히 문제가 되는 VPN 제품은 세코미아(Secomea), 목사(Moxa), HMS 네트웍스(HMS Networks)에서 나온 것들이라고 한다. “이 회사들은 ICS 환경에 특화된 VPN 제품들을 개발하는 곳들입니다. 관리자들은 이 회사들에서 나온 VPN을 통해 원격에서 접근한 후 ICS, PLC, IO 장비들을 관리합니다. 서드파티 관리 업자들 역시 VPN을 통해 비슷한 일을 하는 경우가 많고요. 코로나 때문에 원격 근무가 활성화 되었고, 이 때문에 VPN 사용률이 높아진 상황에서 VPN 취약점은 큰 문제가 될 수 있습니다.” 클래로티 측의 주장이다.

먼저 세코미아의 게이트메니저(GateManager)에서 발견된 취약점은 CVE-2020-14500으로, 클라이언트에서 전송되는 HTTP 요청 헤더들을 제대로 처리하지 못하기 때문에 발생한다. 공격자가 이를 성공적으로 익스플로잇 할 경우, 인증 과정을 통과하지 않고도 원격에서 코드를 실행할 수 있게 된다고 클래로티는 경고했다. 그 외에 다음과 같은 오류들도 게이트매니저에서 발굴됐다.

1) CVE-2020-14508 : 오프바이원(off-by-one) 오류, 임의 코드 실행 및 디도스 공격을 유발시킬 수 있음.
2) CVE-2020-14510 : 텔넷 크리덴셜 하드코드 문제. 권한을 상승시켜 명령을 실행할 수 있게 해줌.
3) CVE-2020-14512 : 약한 해시 알고리즘 문제. 공격자가 사용자의 비밀번호를 열람할 수 있게 됨.
세코미아는 7월 16일 9.2c 버전과 9.2i 버전을 통해 취약점들을 패치했다.

목사의 EDR-G902/3 VPN 서버에서는 CVE-2020-14511 취약점이 발견됐다. 공격자가 이를 익스플로잇 하는 데 성공할 경우 스택 기반 오버플로우 현상을 웹 서버에서 일으킴으로써 원격에서 코드를 실행할 수 있게 된다. 이 과정에서 크리덴셜을 전혀 사용하지 않아도 된다고 한다. 실제 공격 시나리오에서는 대규모로 쿠키를 제공함으로써 오버플로우를 일으킬 수 있다고 클래로티는 보고서를 통해 알렸다. 목사는 6월 9일에 패치를 완성해 배포했고, EDR-G902/3을 v5.5 버전으로 업그레이드 하면 이 취약점의 위협에서부터 벗어날 수 있다고 한다.

HMS 네트웍스에서 발견된 건 CVE-2020-14498로 스택 버퍼 오버플로우 취약점의 일종이며 치명적인 위험도를 가지고 있다. 익스플로잇이 될 경우 피해자의 시스템에서 원격 코드를 실행할 수 있게 된다. 악성 웹사이트를 방문하도록 하거나 악성 문서를 열도록 유도하는 식으로 익스플로잇이 가능하다. 이메일 프로그램을 통해 악성 이미지가 로딩되도록 하면 곧바로 익스플로잇이 시작된다고 클래로티는 덧붙였다. HMS 측은 7월 14일 패치를 발표했다. 사용자들은 6.5.5 버전으로 업그레이드를 해야 안전하다.

클래로티는 “코로나 사태 때문에 일반 사무 업무만이 아니라 공장 관리 업무도 VPN을 통해 진행되는 가운데, VPN을 노리는 공격자들이 많아지는 건 당연하다”며 “각 시설 관리자들은 VPN 소식에 민감하게 귀를 기울이고 최대한 빠르게 취약점 패치를 해야 안전할 것”이라고 제안했다. “VPN을 통해 OT 네트워크에 침투한 공격자들은 물리적 피해를 일으키는 것도 가능하기 때문에 이 부분의 보안에 있어서는 보다 세밀한 주의가 필요합니다.”

3줄 요약
1. 산업 현장에서도 코로나 때문에 VPN 활용도 높아지고 있음.
2. 산업 현장에 특화된 VPN 제품들을 조사했더니 원격 코드 실행 취약점들이 우수수 나옴.
3. 다행히 문제가 발견된 제품들에 대한 패치가 전부 나온 상태. 사용자들의 업데이트가 관건.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>