Home > 전체기사
산업 자동화 솔루션 업체 와고의 스위치에서 취약점 발견돼
  |  입력 : 2019-06-14 15:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
독일의 산업 자동화 기업 와고, 네트워크 스위치 일부에서 취약점 나와
오래돼 지원 받지 못하는 애플리케이션이 발견되기도...취약하다고 알려진 것들


[보안뉴스 문가용 기자] 보안 서비스 및 컨설팅 전문 업체인 SEC 컨설트(SEC Consult)가 와고(WAGO)에서 제작한 일부 산업 장비 관리 스위치에서 중요한 보안 취약점들을 발견했다.

[이미지 = iclickart]


이 취약점이 발견된 장비는 WAGO 852-303, 852-1305, 852-1505 스위치들로, 와고 측도 이 사실을 접수해 펌웨어 업데이트를 발표했다. 문제가 해결된 버전은 1.2.2.S0, 1.1.6.S0, 1.1.5.S0이다. 와고는 독일의 회사로 산업 자동화 솔루션과 기술을 고객들에게 제공하는 것을 주특기로 하고 있다.

가장 심각한 것으로 알려진 취약점은 CVE-2019-12550으로, 크리덴셜이 하드코드 된 채 저장되어 있다는 것이다. “루트 권한을 가진 디폴트 계정이 존재한다는 건데요, 너무나 높은 권한을 가진 계정이 아주 쉬운 비밀번호로만 보호되어 있는 것입니다. 공격자들이 텔넷(Telnet)이나 SSH를 통해 와고 스위치에 쉽게 접근할 수 있습니다.”

비슷하게 심각한 또 다른 취약점은 ‘하드코드 된 비밀 키’와 관련이 있다. SSH 데몬을 위한 비밀 키가 하드코드 된 채 보관되어 있는 것이다. 이 비밀 키는 장비 내 펌웨어에 저장되어 있으며, 이를 발견한 공격자라면 각종 어뷰징 공격과 중간자 공격을 실시할 수 있게 된다.

“드롭베어 SSH(Dropbear) SSH 데몬이 취약해질 수 있습니다. 공격이 발생했을 때 피해자는 아무 것도 눈치 채지 못하게 됩니다.” SEC 컨설트의 취약점 부문 책임자인 요하네스 그레일(Johannes Greil)의 설명이다.

조사를 더 진행하다보니 문제가 있던 와고 스위치들에서 오래된 비지박스 유닉스(BusyBox UNIX) 툴킷과 GNU C 라이브러리(glibc)가 사용되고 있다는 것 또한 발견할 수 있었다. 이 두 가지 요소에는 꽤나 심각할 수 있는 취약점들이 있는 것으로 알려져 있다. 그레일은 “이렇게 오래된 OS나 소프트웨어를 사용하는 건 대형 생산 시설의 고질적인 문제”라고 지적한다.

그레일은 “다행히 스위치들이 인터넷을 통해 직접 접속은 불가능한 상태로 보인다”고 말한다. 쇼단(Shodan)과 센시스(Censys)라는 검색엔진으로 검색했을 때 문제가 있는 것으로 알려진 장비들을 발견할 수가 없기도 했다.

독일의 침해대응센터(CERT)가 이 취약점들에 대한 세부 내용을 접수 받고 공개한 것으로 알려져 있다. 침해대응센터는 이번 와고 장비들의 취약점에 대해 독자적인 권고문을 발표했고, 조만간 와고 측도 취약점과 패치에 대한 세부 내용과 고객 대상 권고문을 발표할 것으로 예상된다.

3줄 요약
1. 산업 자동화 기술 업체 와고에서 생산한 스위치 일부에서 심각한 취약점들 발견됨.
2. 루트 계정의 크리덴셜과 비밀 키가 하드코드 된 채 저장되어 있는 것이 특히 위험함.
3. 취약점이 있다고 알려진, 오래된 애플리케이션이 취약한 시스템에서 발견되기도 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)