Kant's IT/Issue on IT&Security
SCADA 시스템 취약점, DoS 및 권한 상승 공격 가능성 제기
Kant Jo
2025. 4. 14. 16:00
SCADA Vulnerabilities Allow Attackers to Cause DoS and Gain Elevated Privileges
SCADA Vulnerabilities Allow Attackers to Cause DoS and Gain Elevated Privileges
A recent security assessment by Palo Alto Networks' Unit 42 has uncovered multiple vulnerabilities in the ICONICS Suite.
gbhackers.com
- 취약점 개요
- Palo Alto Networks의 Unit 42는 ICONICS Suite(버전 10.97.2 이하)에 다수의 고위험 취약점을 발견
- 해당 제품은 산업 제어 시스템(SCADA) 영역에서 광범위하게 사용되며, 주요 타깃 산업에는 정부, 군, 제조, 상하수도, 에너지 및 유틸리티 부문 포함
- 주요 취약점 유형은 DLL 하이재킹, 잘못된 기본 권한 설정, 비제어 검색 경로, 데드 코드 문제 등이며, 이를 통해 DoS, 권한 상승, 시스템 완전 장악 가능
- 주요 취약점 상세 분석
- DLL 하이재킹 (CVE-2024-1182)
- MMCFG(Memory Master Configuration) 구성 요소가 외부 DLL을 잘못된 경로에서 로드하는 취약점
- 공격자가 악성 DLL을 배치하여 관리자 권한으로 임의 코드 실행 가능
- 시스템 무결성 훼손 및 권한 상승으로 이어질 수 있음
- 기본 권한 설정 오류 (CVE-2024-7587)
- GenBroker32 구성 요소에서 과도하게 개방된 디렉터리 권한 설정으로 인해 인증된 사용자가 민감 정보에 접근하거나 시스템 설정을 변경 가능
- DoS 공격 또는 설정 변경 통한 시스템 무력화 가능
- 비제어 검색 경로 취약점 (CVE-2024-8299, CVE-2024-9852)
- DLL 검색 경로에 대한 검증 부재로, 공격자가 악성 DLL을 특정 폴더에 삽입하면 해당 DLL이 시스템에서 로드됨
- 권한 상승 및 임의 코드 실행으로 이어질 수 있음
- 데드 코드 취약점 (CVE-2024-8300)
- 더 이상 사용되지 않지만 시스템에 잔존하는 코드에서 악성 DLL을 실행할 수 있는 취약점 존재
- 타깃 공격자에 의해 코드 삽입 경로로 악용 가능
- DLL 하이재킹 (CVE-2024-1182)
- 영향 및 보안 위협
- 위 취약점들은 SCADA 시스템의 무결성과 가용성을 심각하게 훼손할 수 있는 경로 제공
- 공격자는 해당 취약점을 악용해 내부 시스템 제어권을 획득하거나, 운영 중단을 초래하는 DoS 상태 유발 가능
- 특히 ICONICS 시스템이 인터넷에 노출되어 있는 경우 외부 공격자에게 직접 노출되어 위험성이 가중됨
- 보안 권고
- ICONICS는 해당 취약점에 대해 보안 패치와 기술 권고 사항을 2024년에 발표함
- 사용자는 반드시 최신 보안 패치를 적용하고, 권장된 완화책(workaround)을 즉시 도입해야 함
- Cortex XDR, XSIAM 등의 보안 솔루션을 활용하면 DLL 하이재킹 기반의 공격 탐지 가능
- 사전 침해 여부가 의심될 경우 Unit 42 침해사고 대응팀과 협업 필요
- 인터넷 상에서 노출된 ICONICS 서버는 반드시 네트워크 접근 통제 조치 수행 필요