후지 일렉트릭 V서버에서 다량의 취약점 발견돼

2018-09-14 12:48
  • 카카오톡
  • url

사무실에서 공장에 있는 PLC 통제하게 해주는 시스템
최근 해커들이 가장 많이 노리는 것이 바로 이런 종류의 환경



[이미지 = iclickart]
[보안뉴스 문가용 기자] 고위험군에 속하는 취약점들이 후지 일렉트릭 V서버(Fuji Electric V-Server)에서 발견됐다. 후지 측은 곧바로 업데이트를 배포하며 문제 해결에 나섰다. 이 취약점들은 전부 원격의 공격자들이 임의의 코드를 실행할 수 있게 해주는 것으로, 이번 주 ICS-CERT가 권고문과 함께 발표했다.

후지 일렉트릭 V서버는 사무실 PC를 통해 공장 내에 있는 프로그래밍 가능한 로직 컨트롤러(PLC)에 접근할 수 있도록 하는 툴이다. 일렉트릭 V서버와 공장 내 PLC는 모니터치(Monitouch)라는 HMI를 통해, 이더넷으로 연결된다. ICS-CERT에 의하면 후지 일렉트릭 V서버는 전 세계적으로 사용되는 장비라고 한다.

이번에 발견된 취약점들은 UaF(Use-after-Free), 신뢰되지 않은 포인터 역참조(untrusted pointer dereference), 힙 기반 버퍼 오버플로우(heap-based buffer overflow), 아웃 오브 바운드 라이트(out-of-bounds write), 정수 오버플로우(integer overflow), 아웃 오브 바운드 리드(out-of-bounds read), 스택 기반 버퍼 오버플로우(stack-based buffer overflow)다. 이 취약점들은 원격 코드 실행, 디도스, 정보 유출 등의 공격으로 이어질 수 있다.

또한 ICS-CERT는 V서버 라이트(V-Server Lite)에서 발견된 심각한 버퍼 오버플로우 취약점에 대해 별도의 권고문을 발표하기도 했다. 이 취약점이 익스플로잇 될 경우 코드 실행과 디도스 공격, 혹은 정보 유출이 발생할 수 있다고 한다. 공격자의 입장에서는 특수하게 조작된 프로젝트 파일들을 준비하면 익스플로잇이 가능하다고 한다.

후지는 4.0.4.0 버전을 발표하면서 위의 모든 취약점들을 패치했다.

V서버의 취약점들을 제일 먼저 발표한 건 보안 업체 트렌드 마이크로(Trend Micro)의 제로 데이 이니셔티브(Zero Day Initiative, ZDI) 팀이다. 하지만 발견자는 소스 인사이트(Source Incite)라는 이름으로 활동하는 보안 전문가 스티븐 실리(Steven Seeley)라고 한다. 라이트 버전에서 발견된 취약점의 경우 키미야(Kimiya)라는 이름으로 활동하는 아리엘 칼타비아노(Ariele Caltabiano)가 발견했다. 역시 ZDI를 통해 후지로 보고됐다.

ICS-CERT는 현재 이 취약점들 중 일부의 익스플로잇이 공개된 상태라고 경고했다. 하지만 아직까지 이 익스플로잇이 정확히 어떤 걸 지칭하는지 파악하기가 어렵다. 트렌드 마이크로가 이번 후지 서버의 취약점에 대해 별도로 작성해 공개한 보고서를 뜻하고 있을 가능성이 가장 높은데, 트렌드 마이크로의 보고서에는 기술적인 세부 내용이 많이 포함되어 있지는 않다.

한편 실리가 ZDI에 취약점들의 존재를 알려온 건 올해 3월이라고 한다. 칼타비아노는 6월에 ZDI에 연락을 취했다. 이런 문제들을 종합해 분석한 ZDI는 “VPR 파일을 확인하는 과정에서 오류가 있고, 이 때문에 취약점들이 발생한다”고 설명한다. “객체에 뭔가 작동을 하기 전에 확인 과정이 없거나 부적절하다는 게 이 취약점들의 본질입니다.”

ICS-CERT는 이 취약점들에 대해 ‘고위험군’이라는 등급을 매겼다. 그러나 ZDI는 ‘중간급 위험’이라며, CVSS 점수 6.8점을 부여했다. 다만 칼타비아노가 찾아낸 취약점은 9.3점을 기록해 ‘치명적인’ 수준의 위험을 가진 것으로 나타났다.

사무실에서부터 공장 시스템으로 연결을 해주는 서비스는 매우 유용할 수 있으나, 대단한 위험성을 내포하고 있기도 하다. 이런 인터페이스들은 해커들이 가장 많이 노리는 부분이기도 하다. 최근 보안 업체 포지티브 테크놀로지스(Positive Technologies)는 연구를 통해 “최근 해커들은 기업 네트워크를 통해 공장 네트워크로 침투해가는 경우가 많다”고 발표하기도 했다.

3줄 요약
1. 세계적으로 널리 사용되는 후지 일렉트릭 V서버에서 여러 취약점들 발견됨.
2. 원격에서 코드를 실행하거나 디도스 공격을 하거나 정보를 유출시킬 수 있게 해주는 것들임.
3. 후지 패치 완료. V서버 사용자들은 패치 적용 필수.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기

Copyright Mediadot Corp. All Rights Reserved.

MENU

PC버전

닫기