산업제어시스템 WGS-804HPT서 치명적 취약점 발견…원격 코드 실행 및 네트워크 침해 주의

플래닛 테크놀로지(Planet Technology)의 WGS-804HPT 산업용 스위치에서 치명적인 보안 취약점이 발견되었다. 이 취약점들은 원격 코드 실행(RCE)을 가능하게 하고, 공격자가 취약한 장치를 제어하여 네트워크 내 다른 장치들까지 침해할 수 있는 위험을 안고 있다. 이번 취약점은 장치의 펌웨어와 관련된 웹 서비스 프레임워크를 분석하는 과정에서 밝혀졌다.

플래닛 테크놀로지는 산업용 네트워크 장비와 솔루션을 제공하는 대만 기업이며, 이 회사는 주로 기업의 네트워크 및 자동화 시스템에 필요한 스위치, 라우터 및 관련 장비를 설계하고 제조한다.

WGS-804HPT 스위치는 건물 자동화 및 홈 자동화 시스템에서 중요한 역할을 하는 네트워크 장치로, 다양한 응용 분야에서 널리 사용되고 있다. 이러한 장치들의 보안 결함은 중요한 네트워크 환경에서 심각한 위협을 초래할 수 있다.

클래로티(Claroty) 연구원은 "이 장치들에 대한 원격 제어 권한을 얻은 공격자는 이를 시작점으로 삼아 내부 네트워크에서 횡단 이동(lateral movement)를 통해 다른 장치들을 공격할 수 있다"고 말했다.

이 취약점들은 dispatcher.cgi 인터페이스에서 발생하며, 이 인터페이스는 장치와 상호작용하기 위한 웹 서비스로 사용된다. 연구자들은 QEMU 프레임워크를 활용하여 펌웨어 분석을 진행하며, 다음과 같은 세 가지 주요 취약점을 발견했다:

-CVE-2024-52558 (CVSS 점수: 5.3)

이 취약점은 정수 언더플로우 문제로, 공격자가 잘못된 HTTP 요청을 보내면 시스템이 충돌하는 결과를 초래한다. 이 취약점은 단독으로 코드 실행으로 이어지지 않지만, 시스템의 작동을 방해하고 추가 공격의 입구로 이용될 수 있다.

-CVE-2024-52320 (CVSS 점수: 9.8)

이 취약점은 운영 체제 명령어 삽입 취약점으로, 인증되지 않은 공격자가 악성 HTTP 요청을 통해 시스템 명령어를 삽입할 수 있다. 이를 통해 원격 코드 실행이 가능해진다.

-CVE-2024-48871 (CVSS 점수: 9.8)

세 번째 취약점은 스택 기반 버퍼 오버플로우 문제이다. 공격자가 정교하게 조작된 HTTP 요청을 보내면 스택 메모리를 덮어쓸 수 있으며, 이로 인해 공격자는 장치를 완전히 제어하고 원격으로 악성 코드를 실행할 수 있게 된다.

CVE-2024-52320과 CVE-2024-48871은 두 가지 취약점 모두 공격자가 원격에서 운영 체제 명령을 실행할 수 있게 하므로 심각한 보안 위험을 초래한다. 이들 취약점이 연쇄적으로 결합되면 공격자는 스위치를 완전히 제어할 수 있으며, 네트워크 내 다른 장치들까지 침해할 수 있다.

이 취약점들이 악용될 경우, 특히 WGS-804HPT 스위치를 사용하고 있는 네트워크 관리 및 자동화 시스템에서 심각한 보안 위협이 될 수 있다. 공격자는 해당 장치를 원격으로 제어한 후, 내부 네트워크의 다른 장치들에 대해 추가적인 공격을 실행할 수 있다. 공격자는 민감한 데이터를 훔치거나 악성 코드를 배포하는 등, 기업의 중요한 인프라를 위협할 수 있다.

산업 제어 시스템(ICS)과 같은 환경에서, 이런 종류의 공격은 에너지 그리드, 제조 시스템, 교통망 등 핵심 인프라에 영향을 미칠 수 있어 위험성이 더욱 커진다.

이 취약점이 발견된 후, 플레닛 테크놀로지는 신속하게 대응하여 취약점을 해결하는 패치를 배포했다. 2024년 11월 15일, 펌웨어 버전 1.305b241111이 출시되었으며, 해당 패치를 적용하면 더 이상 취약점이 악용되지 않도록 보호할 수 있다. WGS-804HPT 스위치를 사용하고 있는 기업들은 즉시 패치를 적용할 것을 권장한다. 패치가 공개됐지만 여전히 패치가 이루어지지 않은 사용기관들이 있어 즉시 패치가 필요한 상황이다.

사이버보안 전문가들은 최근 네트워크 하드웨어 취약점이 증가하고 있다는 점에서 우려를 표명하고 있다. 클레로티 연구원은 이번 취약점들이 산업 자동화 및 제어 시스템을 표적으로 하는 공격이 점점 더 정교해지고 있다고 우려했다. 기업들이 네트워크를 정기적으로 점검하고, 네트워크 분리를 통해 공격자의 횡단 이동을 제한하며, 의심스러운 활동을 모니터링할 수 있는 도구를 추가적으로 활용할 것을 권장했다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★