여러분의 비즈니스에 보안 및 SW품질 기술을 더해 사이버공격으로 부터 자산을 보호하고 SW의 품질과 신뢰성을 확보합니다.

Recent Posts
COPYRIGHT ⓒ 2020 SOFTFLOW. ALL RIGHTS RESERVED.
 

클래로티 CTD 솔루션을 통한 Urgent/11 보안취약점 대응 방안

클래로티 CTD 솔루션을 통한 Urgent/11 보안취약점 대응 방안

클래로티 CTD 솔루션을 통한 보안취약점 대응방안

 

 

 

클래로티, Ugent/11 보안취약성 체크를 위한 무료 진단 도구 배포

최근 Urgent/11이라고 명명되는 보고서에서는 VxWorks 임베디드OS 운영시 TCP/IP 스택상의 여러가지 보안취약점을 발표하였습니다. 이에 클래로티는 관련 보안취약점과 그 영향을 완화하는 방법 및 해당 보안취약점을 진단할 수 있는 무료 도구에 대해 알려드립니다.

VxWorks와 TCP/IP 스택 오류 유발

VxWorks는 Wind River Systems사에서 개발되었고, OT영역뿐만 아니라 임베디드 장치에 광범위하게 사용되는 일반적인 RTOS(실시간 운영체제)입니다. 이 RTOS는 개발자에게 기반적인 운영체제를 제공함으로서 개발자는 실질적인 사용목적에 해당하는 특별한 코드 개발에만 집중할 수 있도록 합니다.

VxWorks 커널 서비스 기능의 일부로, Vxworks는 사용자 애플리케이션에 완전한 TCP/IP 스택 서비스를 제공합니다. 전체 IP-TCP 스택을 처음부터 개발할 때 가장 중요한 문제 중 하나는 더 나은 성능을 제공하고 신뢰할 수 있는 연결을 관리하는 기본 TCP/IP RFC에 설명된 모든 사항을 따르는 것입니다. TCP/IP 계층 내의 많은 필드에는 데이터의 양을 나타내고 TCP/IP 스택이 일부 물리적 연결 시나리오에서 발생할 수 있는 Packet Fragmentation을 관리할 수 있도록 하는 “Length” 필드가 포함되어 있습니다. 그런데, 이 필드를 잘못 다루면 메모리 손상 및 원격 코드 실행(RCE) 등의 오작동이 유발될 수 있습니다.

Ugent/11 보안취약점에 대한 영향

최근 Urgent/11 보고서에는 VxWorks TCP/IP 스택에 관련된 11가지 보안취약점을 발표하였습니다. 각각의 취약점들은 기초적인 서비스 거부 공격부터 장치의 IP 주소 변경 및 원격 코드 실행(RCE)에 이르기까지 다양하고 잠재적 위험을 내포하고 있습니다. 또한, Ugent/11 보안취약점에 영향을 받을 수 있는 전 세계의 수십억 개의 장치들 중 다수가 전력 및 정수 처리 공장, 대규모 제조 공장, 국방 시스템 등과 같은 중요한 인프라에 운영 중에 있습니다.

클래로티 CTD 솔루션을 통한 Urgent/11 보안취약점 대응

이러한 Ugent/11 보안취약점의 발표에 대한 반응으로, VxWorks를 사용하는 많은 IT/ICS 및 보안 제품 제조사들은 그들의 영향을 받는 제품과 펌웨어 버전을 나열하는 포괄적인 권고사항을 릴리즈 하였습니다. 이러한 목록은 최종 사용자가 네트워크에서 취약한 기기를 식별하는 데 도움이 될 수 있지만, 해당 보안취약점을 대응할 수 있는 솔루션 제시 측면에서는 부족한 점이 있습니다.

실제 ICS/OT운영자는 Urgent/11 보안취약점에 노출된 자산과 매핑하기 위해 OT네트워크내의 기기 모델과 펌웨어 버전에 대한 포괄적이고 최신의 인벤토리 정보가 필요할 것입니다. 그러나, 이러한 가시성이 없으면 취약한 기기를 식별하고 제조사의 권고사항과 상호 연관시키는 것은 불가능합니다.

클래로티 CTD(Continuous Threat Detection) 솔루션은 OT네트워크내 기기들의 다양한 자산 정보를 자동으로 식별하고 최신의 인벤토리 및 토폴로지 상태를 유지하는 풀스펙트럼 가시성을 지원하며, 취약한 기기 모델과 펌웨어를 탐지하기 위해 Urgent/11 보안취약점과 관련된 CVE 데이터베이스 및 네트워크 레벨에서 관련 공격을 탐지할 수 있는 시그니처가 이미 내장되어 솔루션이 제공되고 있습니다.

아울러, 클래로티는 보고서에서 자세히 다루지 않은 CVE에 대한 탐지 범위를 확대하기 위해 IOC(Indicator of compromise)를 추가하였고, 이를 통해 클래로티 고객은 취약한 기기를 찾아내고 Urgent/11 보안취약점을 이용한 침해 시도를 선제적으로 감지할 수 있습니다.

또한, 클래로티 CTD 의 VirtualZone+ 기능을 활용하여 취약한 기기들이 있는 관련 서브넷을 식별하고, 다양한 방화벽들과의 연동 기능을 활용하여 Urgent/11 보안취약점에 활용될 수 있는 IP또는 TCP 옵션을 방어할 수 있습니다.

클래로티의 Ugent/11 보안취약점 진단 도구 배포

8월21일 기준으로 Ugent/11 보안취약성을 체크할 수 있는 공개된 진단 도구가 전세계적으로 전무하였기에 VxWorks사용하는 IT/ICS 및 보안 제품의 Ugent/11 보안취약성 여부를 체크할 수 있는 무료 진단 도구를 배포하게 되었습니다. (https://github.com/ClarotyICS/ICSSecurityTools)

이 진단 도구는 공격자가 소스/대상 IP 및 포트에 액세스할 수 있는 경우, 연결 종료를 초래할 수 있는 논리적 취약성에 해당하는 CVE-2019-12258를 기반으로 구현하였으며, 이 진단 도구는 사용자들이 그들의 네트워크를 스캔하여 Urgent/11 취약점에 노출된 장치를 식별토록 지원합니다. 이 진단 도구는 아래 VxWorks 사용 제조사의 권고 사항과 함께 검토되어야 하며, 해당 장치/자산 운영 담당자에게 취약성 여부를 인지하도록 하는 목적으로 사용되어야 합니다.

VxWorks 사용 제조사의 권고 사항

· ABB

· Belden Industrial Devices

· Dräger

· NetApp

· Philips

· Rockwell Automation

· Schneider Electric

· Siemens

· Sonicwall Firewalls

· TrendMicro IPS

· Woodward

· Xerox Printers

작성자: Amir Preminger

Q&A: info@softflow.io

원문: https://blog.claroty.com/mitigating-the-impact-of-urgent11-on-ics/ot-networks#

댓글이 없습니다.

댓글남기기