목차
Rockwell Automation ControlLogix 1756 장치에서 고위험 보안 우회 취약점이 발견되었다. 이 취약점(CVE-2024-6242)은 공격자가 신뢰되지 않은 네트워크 카드 뒤에서도 임의의 명령어를 PLC CPU에 다운로드할 수 있도록 허용한다. 이로 인해 산업 제어 시스템이 심각한 위험에 노출될 수 있다.
이 블로그에서는 이 취약점의 세부 사항과 이를 악용할 수 있는 방법, 그리고 잠재적인 피해와 위험성에 대해 설명한다. 또한, 취약점을 점검하고 대응하는 방법과 패치를 적용하는 절차를 안내하여 보안을 강화할 수 있는 실질적인 조언을 제공한다.
취약 제품 및 취약점
Rockwell Automation ControlLogix 1756 시리즈 상세
Rockwell Automation의 ControlLogix 1756 시리즈는 산업 제어 시스템(ICS)에서 널리 사용되는 장치로, 프로그래밍 로직 컨트롤러(PLC) 기능을 제공한다. 이 제품은 고성능 제어 작업을 수행하며, 다양한 산업 환경에서 핵심적인 역할을 한다.
- ControlLogix 5580 (1756-L8z) : V32.016, V33.015, V34.014, V35.011 및 이후 버전.
- GuardLogix 5580 (1756-L8zS) : V32.016, V33.015, V34.014, V35.011 및 이후 버전.
- 1756-EN4TR : V5.001 및 이후 버전.
- 1756-EN2T Series D : 최신 버전은 V12.001 이상.
- 1756-EN2F Series C : 최신 버전은 V12.001 이상.
- 1756-EN2TR Series C : 최신 버전은 V12.001 이상.
- 1756-EN3TR Series B : 최신 버전은 V12.001 이상.
- 1756-EN2TP Series A : 최신 버전은 V12.001 이상.
취약점 및 CVE
다음은 ControlLogix 1756 장치에서 발견된 취약점이다.
- CVE-2024-6242 : Trusted Slot Bypass Vulnerability
- 유형 : 보안 우회(Security Bypass)
- 이 취약점은 ControlLogix 컨트롤러의 신뢰된 슬롯 기능을 우회할 수 있게 하며, 공격자가 CIP 명령어를 실행하여 사용자 프로젝트나 장치 구성을 수정할 수 있다.
CVE-2024-6242 상세 정보
이 취약점은 ControlLogix 컨트롤러의 신뢰된 슬롯 기능이 제대로 적용되지 않아 발생했다. 신뢰된 슬롯 기능은 로컬 섀시의 신뢰되지 않은 경로를 통해 통신을 차단하도록 설계되었지만, 이를 우회하는 방법이 발견되었다.
- 알려진 공격 방법
- 공격자는 네트워크 접근 권한이 있는 경우 이 취약점을 악용할 수 있다.
- CIP 라우팅을 사용하여 로컬 백플레인 슬롯 간에 이동하면서 CPU를 보호하는 보안 경계를 넘어선다.
- 공격자는 임의의 명령을 PLC CPU에 다운로드하거나 사용자 프로젝트 및 장치 구성을 변경할 수 있다.
- 공격 영향
- 공격에 성공하면, 공격자는 PLC CPU에 악성 명령어를 실행하여 시스템 전체에 걸쳐 심각한 영향을 미칠 수 있다.
- 산업 제어 시스템의 중요한 부분이 손상될 가능성을 높이며, 생산 중단이나 안전 사고 등의 심각한 결과를 초래할 수 있다.
발생 가능 피해 및 위협
Rockwell Automation 장치의 보안 우회 취약점(CVE-2024-6242)은 산업 제어 시스템(ICS)에 대한 심각한 위협이 된다. 이 취약점이 공격 받을 경우 발생 가능한 피해는 다음과 같다.
- 생산 중단
공격자가 PLC CPU에 악성 명령어를 다운로드하거나 장치 구성을 변경하면 생산 라인이 중단될 수 있다. - 데이터 무결성 손상
사용자 프로젝트와 장치 구성 데이터를 변경함으로써 데이터 무결성이 손상될 수 있으며, 이는 정확하지 않은 데이터를 기반으로 한 잘못된 운영 결정을 초래할 수 있다. - 보안 정책 우회
신뢰되지 않은 네트워크 카드 뒤에서도 공격자가 악성 명령어를 실행할 수 있어 기존 보안 정책이 무력화된다. - 잠재적 안전 사고 증가
중요 시스템의 비정상적인 동작으로 인해 물리적 안전 사고가 발생할 가능성이 높아진다.
기업과 조직에서는 이러한 위협을 최소화 하기 위하여 신속하게 패치를 적용하고 보안 조치를 강화해야 할 필요가 있다.
취약점 점검 및 대응
취약 여부 점검 방법
취약점이 존재하는지 확인하기 위해서는 먼저 네트워크 접근 권한을 가진 장치에서 Rockwell Automation 장치가 취약한 특정 버전을 사용하는지 확인해야 한다. 이를 위해 장치의 펌웨어 버전 정보를 확인하고, 해당 버전이 취약점에 노출된 버전인지 비교한다.
침해 지표(IoC) 정보
현재 CVE-2024-6242와 관련된 구체적인 침해 지표(Indicators of Compromise)는 공개되지 않았다. 구체적인 침해 지표는 아직 공개된 내용이 없으나, 최신 보안 업데이트와 모니터링 툴을 통해 실시간으로 시스템 상태를 점검하는 것이 중요하다.
침해 확인시 대응 방법
만약, 취약점을 악용한 침해가 의심될 경우, 다음과 같은 단계를 통해 신속히 대응해야 한다:
- 네트워크 격리 : 의심되는 장치를 즉시 네트워크에서 격리하여 추가적인 피해를 방지한다.
- 로그 분석 : PLC 및 네트워크 장비의 로그 파일을 분석하여 비정상적인 활동이나 CIP 명령어 실행 기록을 확인한다.
- 백업 복원 : 손상된 사용자 프로젝트나 장치 구성을 복원하기 위해 최근 백업 데이터를 사용한다.
- 관련 기관 연락 : 유관 기관 및 OT 보안 전문 기관에 연락하여 추가적인 지원을 받는다.
침해가 발생한 후에는 시스템 전반에 걸친 보안 점검과 추가적인 패치를 적용하여 동일한 취약점이 재발하지 않도록 해야 한다.
패치 적용 및 보완 조치 방법
패치를 적용하고 취약점을 완화하기 위한 단계는 다음과 같다:
- 공식 패치 다운로드 및 설치
- Rockwell Automation 공식 사이트에서 제공하는 최신 펌웨어 업데이트를 다운로드한다.
- ControlLogix 5580 (1756-L8z) 및 GuardLogix 5580 (1756-L8zS)의 경우
V32.016,V33.015,V34.014,V35.011이후 버전을 설치한다. - 기타 시리즈(1756-EN4TR 등)의 경우 해당 최신 버전을 설치한다.
- 보완 조치 적용
- 신뢰되지 않은 경로를 통한 통신을 차단하기 위해 네트워크 방화벽 규칙을 강화한다.
- CIP 명령어 실행 권한을 최소한으로 설정하고, 필요 없는 포트를 비활성화한다.
- 정기적 점검 및 모니터링
- 정기적으로 시스템 로그와 활동 내역을 검토하고 비정상적인 활동이 있는지 모니터링한다.
- 자동화된 취약성 검사 도구를 사용하여 지속적으로 시스템 상태를 점검하고 필요한 경우 즉각 대응 조치를 취한다.
이를 통해 발견된 취약점을 제거하고 잠재적인 공격 벡터를 최소화할 수 있다.
참고자료
- Rockwell Automation, Security Advisory
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1682.html - nvd.nist.gov, “CVE-2024-6242”
https://nvd.nist.gov/vuln/detail/CVE-2024-6242 - cve.org, “CVE-2024-6242”
https://www.cve.org/CVERecord?id=CVE-2024-6242 - The Hacker News, “Critical Flaw in Rockwell Automation Devices Allows Unauthorized Access”
https://thehackernews.com/2024/08/critical-flaw-in-rockwell-automation.html - U.S. Cybersecurity and Infrastructure Security Agency (CISA), “A vulnerability exists in the affected products that allows a threat actor to bypass the Trusted Slot feature in a ControlLogix controller”
https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-09