로크웰 오토메이션의 ControlLogix 1756 기기에서 CVE-2024-6242로 알려진 심각한 보안취약점이 발견되었다. 이 취약점은 CVSS v3.1 기준으로 8.4점을 받았으며, 공통 산업 프로토콜(CIP) 명령어의 비인가 실행을 허용한다. 사이버 보안 회사 클레로티가 발견한 이 취약점은 미국 사이버 보안 및 인프라 보안국(CISA)에서 긴급 권고를 발표하게 했다.
이 취약점은 ControlLogix 컨트롤러의 트러스티드 슬롯(Trusted Slot) 기능에 있다. 이 기능은 로컬 섀시 내에서 신뢰할 수 없는 경로를 통한 통신을 거부하여 보안 정책을 강화하도록 설계되었다. 그러나 클레로티는 이 기능을 우회하여 PLC CPU로 악성 명령을 전송할 수 있는 방법을 발견했다.
Trusted Slot 기능은 산업 환경에서 중요한 역할을 한다. 다른 구성 요소가 안전하게 통신할 수 있도록 하는 것이 핵심이다. 이 기능을 우회하게 되면 공격자는 CIP 명령을 주입하여 사용자 프로젝트와 기기 구성을 변경할 수 있다. 이는 산업 현장에서 심각한 결과를 초래할 수 있다.
1756 섀시는 I/O 모듈, 통신 프로세서, 컨트롤러를 수용하는 하우징으로, 이들 구성 요소 간의 통신을 뒷판을 통해 제공한다. 클레로티가 발견한 취약점은 CIP 라우팅을 사용하여 이 슬롯들 사이를 점프함으로써 Trusted Slot 기능을 우회하는 것이다.
네트워크 접근 권한을 가진 공격자는 이 결함을 악용해 PLC CPU로 높은 권한의 명령을 보낼 수 있다. 이는 신뢰할 수 없는 네트워크 카드에서 시작된 공격일지라도 임의의 논리를 CPU에 다운로드할 수 있게 한다. 이러한 비인가 접근은 산업 공정을 방해하여 안전 문제와 운영 중단을 초래할 수 있다.
로크웰 오토메이션과 CISA는 이 취약점의 심각성을 우려하며 사용자에게 펌웨어를 최신 버전으로 업데이트할 것을 촉구했다. 영향을 받는 제품과 펌웨어 업데이트는 다음과 같다:
-ControlLogix 5580 (1756-L8z): V32.016, V33.015, V34.014, V35.011 이상 버전으로 업데이트.
-GuardLogix 5580 (1756-L8zS): V32.016, V33.015, V34.014, V35.011 이상 버전으로 업데이트.
-1756-EN4TR: V5.001 이상 버전으로 업데이트.
-다양한 EN2T, EN2F, EN2TR, EN3TR, EN2TP 시리즈: V12.001 이상 버전으로 업데이트.
즉시 업데이트할 수 없는 사용자에게 권장되는 완화 조치로는 컨트롤러 모드 스위치를 RUN 위치로 설정하여 허용되는 CIP 명령을 제한하는 것과 네트워크 세그멘테이션을 통해 노출을 최소화하는 것이 있다.
이 취약점은 산업 제어 시스템을 위협할 수 있는 보안취약점으로 중요한 인프라에 얼마나 심각한 영향을 미칠 수 있어 각별한 주의가 요구된다. 한국에서 사용기관들은 신속히 업데이트를 적용해야 안전할 수 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★