SCADA에 많이 사용되는 와고 제품에서 세 가지 취약점 발견

취약점 세 개, 연계해서 공격하면 낮은 권한으로 임의의 명령 실행 가능
WAGO, 곧바로 패치 배포...여러 권고 사항들도 함께 발표

[보안뉴스 문가용 기자] 독일의 산업 자동화 기업인 와고(WAGO)가 e!DISPLAY 7300T 웹 패널의 HMI 제품들에 대한 패치를 발표했다. 이 취약점들을 엮어서 공격할 경우 장비에 대한 완전 통제 장악이 가능하다고 한다.

[이미지 = iclickart]

이번에 패치된 취약점들은 보안 컨설턴트 업체인 SEC 컨설트(SEC Consult)의 전문가들이 발견한 것으로, 전부 고위험군에 속하는 것들이었다. CVE-2018-12981은 XSS 취약점이었고, CVE-2018-12980은 무제한 파일 업로드 및 파일 경로 조작 취약점이었으며, CVE-2018-12979는 디폴트 허용 항목 관련 오류였다.

CVE-2018-12981은 XSS 오류로, 인증 과정을 겪지 않은 공격자가 피해자 컨텍스트에서 임의의 스크립트를 실행하고, 세션을 하이재킹할 수 있도록 해준다. 반면 인증 과정을 통과한 공격자가 할 수 있는 XSS 공격도 이 취약점 안에 포함된다. 인증되지 않은 공격자는 피해자가 특정 링크를 클릭하도록 해야만 공격이 성립되지만 인증된 공격자라면 그렇게 하지 않아도 된다. 대신 피해자가 PLC List 페이지를 방문해야만 한다. 둘 다 공격 성립 조건이 존재한다.

무제한 파일 업로드 취약점인 CVE-2018-12980은 말 그대로 공격자가 아무 파일이나 업로드시킬 수 있도록 해주는 것이다. 다만 루트에 곧바로 업로드 할 수는 없다. 반면 디폴트 허용 항목 관련 오류인 CVE-2018-12979는 웹 루트에서부터 파일을 받아들인다. 특히 권한이 없는 사용자(www 사용자)라도 index.html 파일에 대한 덮어쓰기가 가능하도록 해준다.

이 세 가지 취약점을 합하면 어떤 공격 시나리오가 가능할까? 공격자가 www 권한만을 가진 상태에서 index.html 파일을 덮어쓰기 하고 임의의 셸을 업로드 함으로써 임의의 명령을 실행할 수 있게 된다.

“HMI 디스플레이는 SCADA 인프라에서 널리 사용되는 제품입니다. HMI 디스플레이에서 제일 중요한 건 관리자 웹 인터페이스와 이 인터페이스를 사용하는 사람들 사이의 연결고리입니다. 그런데 위 취약점 세 가지를 연계하여 공략하면 사용자의 개입이 최소화된 상태에서 이 연결고리에 악성 코드를 주입할 수 있게 됩니다.” SEC 컨설트의 설명이다.

“그 결과 HMI 관리자용 컴퓨터에 대한 침해 및 악성 스크립트 주입 공격을 할 수 있게 되는 것입니다. 권한이 낮은 사람이라도 말이죠.”

이 취약점의 영향을 받는 제품은 e!DISPLAY 7300T 웹 패널 모델 762-3000, 762-3001, 762-3002, 762-3003이다. 특히 소프트웨어 버전이 01인 장비들은 이 취약점을 다 가지고 있다고 볼 수 있다. WAGO 측은 소프트웨어 버전 01를 발표하며 위 세 가지 문제를 전부 해결했다.

또한 와고는 고객들에게 “장비의 네트워크 접속 권한을 제한하고, 공공 인터넷에 직접 연결하지 말라”고 권고하기도 했다. 장비 사용이 가능한 사람의 수도 줄이고, 디폴트 비밀번호도 바꾸며, 출처가 확실치 않은 링크는 클릭하지 말라는 내용들도 덧붙였다.

SEC 컨설트가 와고 제품에서 취약점을 발견한 건 이번이 처음이 아니다. 작년, SEC 컨설트는 와고 제품에서 원격 공격 및 접근이 가능하게 하는 심각한 취약점을 하나 발견한 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]

국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
	2001년 정보보호 규정 포함된 정보통신망법 개정
	2003년 1.25 인터넷 대란
	2009년 7.7 디도스 대란
	2011년 개인정보보호법 제정
	2013년 3.20 및 6.25 사이버테러
	2014년 카드3사 개인정보 유출사고
	2014년 한수원 해킹 사건
	2017년 블록체인/암호화폐의 등장
	기타(댓글로)