ÃÖ±Ù ÇØÄ¿µéÀÌ °¡Àå ¸¹ÀÌ ³ë¸®´Â °ÍÀÌ ¹Ù·Î ÀÌ·± Á¾·ùÀÇ È¯°æ
[À̹ÌÁö = iclickart]
ÈÄÁö ÀÏ·ºÆ®¸¯ V¼¹ö´Â »ç¹«½Ç PC¸¦ ÅëÇØ °øÀå ³»¿¡ ÀÖ´Â ÇÁ·Î±×·¡¹Ö °¡´ÉÇÑ ·ÎÁ÷ ÄÁÆ®·Ñ·¯(PLC)¿¡ Á¢±ÙÇÒ ¼ö ÀÖµµ·Ï ÇÏ´Â ÅøÀÌ´Ù. ÀÏ·ºÆ®¸¯ V¼¹ö¿Í °øÀå ³» PLC´Â ¸ð´ÏÅÍÄ¡(Monitouch)¶ó´Â HMI¸¦ ÅëÇØ, ÀÌ´õ³ÝÀ¸·Î ¿¬°áµÈ´Ù. ICS-CERT¿¡ ÀÇÇϸé ÈÄÁö ÀÏ·ºÆ®¸¯ V¼¹ö´Â Àü ¼¼°èÀûÀ¸·Î »ç¿ëµÇ´Â Àåºñ¶ó°í ÇÑ´Ù.
À̹ø¿¡ ¹ß°ßµÈ Ãë¾àÁ¡µéÀº UaF(Use-after-Free), ½Å·ÚµÇÁö ¾ÊÀº Æ÷ÀÎÅÍ ¿ªÂüÁ¶(untrusted pointer dereference), Èü ±â¹Ý ¹öÆÛ ¿À¹öÇ÷οì(heap-based buffer overflow), ¾Æ¿ô ¿Àºê ¹Ù¿îµå ¶óÀÌÆ®(out-of-bounds write), Á¤¼ö ¿À¹öÇ÷οì(integer overflow), ¾Æ¿ô ¿Àºê ¹Ù¿îµå ¸®µå(out-of-bounds read), ½ºÅà ±â¹Ý ¹öÆÛ ¿À¹öÇ÷οì(stack-based buffer overflow)´Ù. ÀÌ Ãë¾àÁ¡µéÀº ¿ø°Ý ÄÚµå ½ÇÇà, µðµµ½º, Á¤º¸ À¯Ãâ µîÀÇ °ø°ÝÀ¸·Î À̾îÁú ¼ö ÀÖ´Ù.
¶ÇÇÑ ICS-CERT´Â V¼¹ö ¶óÀÌÆ®(V-Server Lite)¿¡¼ ¹ß°ßµÈ ½É°¢ÇÑ ¹öÆÛ ¿À¹öÇ÷οì Ãë¾àÁ¡¿¡ ´ëÇØ º°µµÀÇ ±Ç°í¹®À» ¹ßÇ¥Çϱ⵵ Çß´Ù. ÀÌ Ãë¾àÁ¡ÀÌ ÀͽºÇ÷ÎÀÕ µÉ °æ¿ì ÄÚµå ½ÇÇà°ú µðµµ½º °ø°Ý, ȤÀº Á¤º¸ À¯ÃâÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Ù°í ÇÑ´Ù. °ø°ÝÀÚÀÇ ÀÔÀå¿¡¼´Â Ư¼öÇÏ°Ô Á¶ÀÛµÈ ÇÁ·ÎÁ§Æ® ÆÄÀϵéÀ» ÁغñÇϸé ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÏ´Ù°í ÇÑ´Ù.
ÈÄÁö´Â 4.0.4.0 ¹öÀüÀ» ¹ßÇ¥ÇÏ¸é¼ À§ÀÇ ¸ðµç Ãë¾àÁ¡µéÀ» ÆÐÄ¡Çß´Ù.
V¼¹öÀÇ Ãë¾àÁ¡µéÀ» Á¦ÀÏ ¸ÕÀú ¹ßÇ¥ÇÑ °Ç º¸¾È ¾÷ü Æ®·»µå ¸¶ÀÌÅ©·Î(Trend Micro)ÀÇ Á¦·Î µ¥ÀÌ À̴ϼÅƼºê(Zero Day Initiative, ZDI) ÆÀÀÌ´Ù. ÇÏÁö¸¸ ¹ß°ßÀÚ´Â ¼Ò½º ÀλçÀÌÆ®(Source Incite)¶ó´Â À̸§À¸·Î È°µ¿ÇÏ´Â º¸¾È Àü¹®°¡ ½ºÆ¼ºì ½Ç¸®(Steven Seeley)¶ó°í ÇÑ´Ù. ¶óÀÌÆ® ¹öÀü¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡ÀÇ °æ¿ì Å°¹Ì¾ß(Kimiya)¶ó´Â À̸§À¸·Î È°µ¿ÇÏ´Â ¾Æ¸®¿¤ ĮŸºñ¾Æ³ë(Ariele Caltabiano)°¡ ¹ß°ßÇß´Ù. ¿ª½Ã ZDI¸¦ ÅëÇØ ÈÄÁö·Î º¸°íµÆ´Ù.
ICS-CERT´Â ÇöÀç ÀÌ Ãë¾àÁ¡µé Áß ÀϺÎÀÇ ÀͽºÇ÷ÎÀÕÀÌ °ø°³µÈ »óŶó°í °æ°íÇß´Ù. ÇÏÁö¸¸ ¾ÆÁ÷±îÁö ÀÌ ÀͽºÇ÷ÎÀÕÀÌ Á¤È®È÷ ¾î¶² °É ÁöĪÇÏ´ÂÁö ÆľÇÇϱⰡ ¾î·Æ´Ù. Æ®·»µå ¸¶ÀÌÅ©·Î°¡ À̹ø ÈÄÁö ¼¹öÀÇ Ãë¾àÁ¡¿¡ ´ëÇØ º°µµ·Î ÀÛ¼ºÇØ °ø°³ÇÑ º¸°í¼¸¦ ¶æÇÏ°í ÀÖÀ» °¡´É¼ºÀÌ °¡Àå ³ôÀºµ¥, Æ®·»µå ¸¶ÀÌÅ©·ÎÀÇ º¸°í¼¿¡´Â ±â¼úÀûÀÎ ¼¼ºÎ ³»¿ëÀÌ ¸¹ÀÌ Æ÷ÇԵǾî ÀÖÁö´Â ¾Ê´Ù.
ÇÑÆí ½Ç¸®°¡ ZDI¿¡ Ãë¾àÁ¡µéÀÇ Á¸À縦 ¾Ë·Á¿Â °Ç ¿ÃÇØ 3¿ùÀ̶ó°í ÇÑ´Ù. ĮŸºñ¾Æ³ë´Â 6¿ù¿¡ ZDI¿¡ ¿¬¶ôÀ» ÃëÇß´Ù. ÀÌ·± ¹®Á¦µéÀ» Á¾ÇÕÇØ ºÐ¼®ÇÑ ZDI´Â ¡°VPR ÆÄÀÏÀ» È®ÀÎÇÏ´Â °úÁ¤¿¡¼ ¿À·ù°¡ ÀÖ°í, ÀÌ ¶§¹®¿¡ Ãë¾àÁ¡µéÀÌ ¹ß»ýÇÑ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°°´Ã¼¿¡ ¹º°¡ ÀÛµ¿À» Çϱâ Àü¿¡ È®ÀÎ °úÁ¤ÀÌ ¾ø°Å³ª ºÎÀûÀýÇÏ´Ù´Â °Ô ÀÌ Ãë¾àÁ¡µéÀÇ º»ÁúÀÔ´Ï´Ù.¡±
ICS-CERT´Â ÀÌ Ãë¾àÁ¡µé¿¡ ´ëÇØ ¡®°íÀ§Ç豺¡¯À̶ó´Â µî±ÞÀ» ¸Å°å´Ù. ±×·¯³ª ZDI´Â ¡®Áß°£±Þ À§Ç衯À̶ó¸ç, CVSS Á¡¼ö 6.8Á¡À» ºÎ¿©Çß´Ù. ´Ù¸¸ ĮŸºñ¾Æ³ë°¡ ã¾Æ³½ Ãë¾àÁ¡Àº 9.3Á¡À» ±â·ÏÇØ ¡®Ä¡¸íÀûÀΡ¯ ¼öÁØÀÇ À§ÇèÀ» °¡Áø °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
»ç¹«½Ç¿¡¼ºÎÅÍ °øÀå ½Ã½ºÅÛÀ¸·Î ¿¬°áÀ» ÇØÁÖ´Â ¼ºñ½º´Â ¸Å¿ì À¯¿ëÇÒ ¼ö ÀÖÀ¸³ª, ´ë´ÜÇÑ À§Ç輺À» ³»Æ÷ÇÏ°í Àֱ⵵ ÇÏ´Ù. ÀÌ·± ÀÎÅÍÆäÀ̽ºµéÀº ÇØÄ¿µéÀÌ °¡Àå ¸¹ÀÌ ³ë¸®´Â ºÎºÐÀ̱⵵ ÇÏ´Ù. ÃÖ±Ù º¸¾È ¾÷ü Æ÷ÁöƼºê Å×Å©³î·ÎÁö½º(Positive Technologies)´Â ¿¬±¸¸¦ ÅëÇØ ¡°ÃÖ±Ù ÇØÄ¿µéÀº ±â¾÷ ³×Æ®¿öÅ©¸¦ ÅëÇØ °øÀå ³×Æ®¿öÅ©·Î ħÅõÇØ°¡´Â °æ¿ì°¡ ¸¹´Ù¡±°í ¹ßÇ¥Çϱ⵵ Çß´Ù.
3ÁÙ ¿ä¾à
1. ¼¼°èÀûÀ¸·Î ³Î¸® »ç¿ëµÇ´Â ÈÄÁö ÀÏ·ºÆ®¸¯ V¼¹ö¿¡¼ ¿©·¯ Ãë¾àÁ¡µé ¹ß°ßµÊ.
2. ¿ø°Ý¿¡¼ Äڵ带 ½ÇÇàÇϰųª µðµµ½º °ø°ÝÀ» Çϰųª Á¤º¸¸¦ À¯Ãâ½Ãų ¼ö ÀÖ°Ô ÇØÁÖ´Â °ÍµéÀÓ.
3. ÈÄÁö ÆÐÄ¡ ¿Ï·á. V¼¹ö »ç¿ëÀÚµéÀº ÆÐÄ¡ Àû¿ë Çʼö.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>