위: "INFRA:HALT" 취약점에 대한 기술적 분석 및 영향 판단

분석에 따르면' INFRA:HALT' 시리즈 취약점은 주로 NicheLite 를 포함한 NicheStack 4.3 이전의 모든 버전에 영향을 미치는 것으로 나타났습니다. 전 세계 대부분의 산업 자동화 기업은 NicheStack TCP/IP 스택을 사용하며 영향을 받는 장비 공급업체는 200 개가 넘습니다.

InterNiche Stack 이라고도 하는 NicheStack 은 임베디드 시스템을 위한 타사 폐쇄 소스 TCP/IP 스택 구성 요소입니다. 산업 장비에 인터넷 액세스를 제공하기 위한 것으로, 주로 제조 공장, 발전, 수처리 및 주요 인프라 분야의 장비에 배치됩니다. 지멘스, 에머슨, 호니웰, 미쓰비시 모터, 록웰 자동화, 슈나이더 전기, 제조, 발전, 수처리 등 주요 인프라 분야의 다양한 OT (Operational Technology) 장비가 포함됩니다.

"INFRA:HALT" 에는 14 개의 보안 취약점이 포함되어 있습니다.

"INFRA:HALT" 시리즈의 취약점은 주로 원격 코드 실행, DoS, 정보 유출, TCP 스푸핑 등 14 취약점, DNSv4, HTTP, TCP, ICMP 등에 영향을 미치는 모듈, 두 개의 취약점에 영향을 미치는 CVSS 를 포함한다

CVE-2020-25928: 이 취약점은 DNS 응답을 분석할 때 응답 데이터 길이 필드를 확인하지 않아 발생하는 보안 취약점으로, OOB-R/W 를 유발할 수 있으며, DNSv4 모듈에 영향을 미치는 원격 코드 실행 취약점으로, CVSS 점수는 9.8 입니다.

CVE- 202 1-3 1226: 이 취약점은 힙 캐시 오버플로우 취약점으로, HTTP POST 요청을 분석할 때 크기 검증이 수행되지 않았습니다. 이는 CVSS 점수가 9. 1 인 HTTP 모듈에 영향을 미치는 원격 코드 실행 취약점입니다.

CVE-2020-25767: 이 취약점은 DNS 도메인 이름을 분석할 때 압축 포인터가 패킷 경계 내에 있는지 확인하지 못해 OOB-R 이 발생할 수 있으며 결국 DoS 공격과 정보 유출이 발생할 수 있습니다. 취약점 CVSS 점수는 7.5 점으로 DNSv4 모듈에 영향을 미칩니다.

CVE-2020-25927: 이 취약점은 DNS 응답을 분석할 때 헤더의 특정 쿼리 또는 응답 번호가 DNS 패킷의 쿼리 또는 응답 번호와 일치하는지 확인하지 않아 발생하는 보안 문제이며 DoS 공격을 유발할 수 있습니다. CVSS 점수는 8.2 입니다.

CVE-202 1-3 1227: 이 취약점은 HTTP POST 요청을 분석할 때 잘못된 서명 정수 비교로 인한 캐시 오버플로우 취약점으로 인해 DoS 공격이 발생하여 HTTP 모듈에 영향을 줄 수 있습니다. CVSS 점수는 7.5 점입니다.

CVE-202 1-3 1400: 대역 외 비상 데이터의 끝 포인터가 TCP 패킷 외부의 데이터를 가리킬 때 TCP 대역 외 비상 데이터 처리 함수가 panic 함수를 호출합니다. Panic 함수가 trap 호출을 삭제하지 않으면 무한 루프가 트리거되어 결국 DoS 공격이 발생합니다. 이 취약점은 CVSS 점수가 7.5 인 TCP 모듈에 영향을 미칩니다.

CVE-2021-31401:TCP 헤더 처리 코드는 IP (헤더+데이터) 길이를 처리하지 않습니다. 공격자가 IP 패킷을 위조하면 IP 데이터의 길이가 모든 IP 패킷 길이에서 헤더 길이를 뺀 값으로 계산되기 때문에 정수 오버플로가 발생할 수 있습니다. 이 취약점은 TCP 모듈에 영향을 미치며 CVSS 점수는 7.5 입니다.

CVE-2020-35683: ICMP 패킷을 처리하는 코드는 IP 페이로드 크기에 따라 ICMP 체크섬을 계산하지만 IP 페이로드 크기는 확인되지 않았습니다. IP 페이로드 크기 설정이 IP 헤더 설정보다 작으면 ICMP 체크섬 계산 함수가 국경을 넘어 읽혀져 DoS 공격이 발생할 수 있습니다. 이 취약점은 CVSS 점수가 7.5 인 ICMP 모듈에 영향을 미칩니다.

CVE- 2020-35684: TCP 패킷을 처리하는 코드는 IP 페이로드의 크기를 기준으로 TCP 페이로드의 길이를 계산합니다. IP 페이로드 크기 설정이 IP 헤더 설정보다 작으면 ICMP 체크섬 계산 함수가 국경을 넘어 읽혀져 DoS 공격이 발생할 수 있습니다. 이 취약점은 CVSS 점수가 7.5 인 TCP 모듈에 영향을 미칩니다.

CVE- 2020-3568: 이 취약점은 예측 가능한 방식으로 TCP ISN 을 생성하기 때문입니다. 이 취약점으로 인해 TCP 스푸핑이 발생하고 CVSS 점수가 7.5 인 TCP 모듈에 영향을 줄 수 있습니다.

CVE- 202 1-27565: 알 수 없는 HTTP 요청이 수신되면 panic 이 호출됩니다. 이 취약점은 DoS 공격으로 이어질 수 있으며, 이 취약점은 HTTP 모듈에 영향을 주며 CVSS 점수는 7.5 입니다.

CVE- 202 1-36762:TFTP 패킷 처리기는 파일 이름이 종결자가 아닌지 보장할 수 없으므로 나중에 strlen () 을 호출하면 프로토콜 패킷 캐시 오버플로 및 DoS 공격이 발생할 수 있습니다. 이 취약점은 TFTP 모듈에 영향을 주며 CVSS 점수는 7.5 입니다.

CVE- 2020-25926: 이 취약점은 DNS 클라이언트가 충분한 임의 트랜잭션 ID 를 설정하지 않았기 때문에 DNS 캐시 중독 공격이 발생할 수 있습니다. 취약점은 DNSv4 모듈에 영향을 주며 CVSS 점수는 4 입니다.

CVE- 202 1-3 1228: 공격자는 DNS 쿼리의 소스 포트를 예측할 수 있으므로 DNS 클라이언트가 요청에 대한 효과적인 응답으로 DNS 캐시 중독 공격을 트리거할 수 있는 가짜 DNS 요청 패킷을 보낼 수 있습니다 취약점은 DNSv4 모듈에 영향을 주며 CVSS 점수는 4 입니다.

"INFRA:HALT" 취약점의 영향을 받는 산업 통제 제조업체

전체 네트워크 산업 제어 장비에 대한 분석에 따르면' INFRA:HALT' 시리즈의 허점에 가장 큰 영향을 받는 국가는 미국, 캐나다, 스페인, 스웨덴인 것으로 나타났다.

지멘스의 영향을 받는 제품:

호니웰의 영향을 받는 제품: 당국은 아직 이 시리즈의 허점 안전 공고를 발표하지 않았다.

슈나이더 전기는 현재 취약성 복구 패치를 제공하지 않고 있으며 방화벽과 같은 보안 조치를 통해 잠재적인 취약성 공격 위험을 줄일 것을 권장합니다.

호니웰의 영향을 받는 제품: 당국은 아직 이 시리즈의 허점 안전 공고를 발표하지 않았다.

미쓰비시 영향 제품: 당국은 아직 이 시리즈의 허점 보안 공고를 발표하지 않았다.

INFRA:HALT 시리즈 취약점 활용

보안 연구원이 공개한 기술 문서에 따르면' INFRA:HALT' 시리즈 취약점에 대한 기술 설명은 어느 정도 있지만 해당 시리즈 취약점을 기반으로 한 활용 절차와 POC 는 발표되지 않았다.

분석에 따르면 InterNiche 스택 구성 요소를 사용하는 제품은 주로 HTTP, FTP, 텔넷 및 SSH 인 "INFRA:HALT" 시리즈의 취약점에 취약합니다. Shodan 을 쿼리하여 6400 대 이상의 장치가 NicheStack 스택을 실행하는 것을 발견했습니다. 이 중 6360 은 HTTP 서버를 실행하고, 대부분 FTP, SSH, 텔넷 등의 서비스를 실행합니다. 이러한 장치는 CVE-2020-25928 및 CVE-202 1-3 1226 취약점의 공격을 받아 원격으로 제어될 수 있습니다.

보안 연구원은 또한 장치 시스템이 InterNiche 스택 및 해당 버전 정보를 사용하는지 여부를 감지하는 데 도움이 되는 오픈 소스 테스트 스크립트를 발표했습니다.

지금까지 HCC 임베디드 회사는 수리 패치를 발표할 준비가 되어 있습니다. 그러나 펌웨어를 업데이트하기 전에 공격자가 이미' INFRA:HALT' 시리즈 취약점을 이용해 공격을 시작했을지도 모른다. 따라서 영향을 받는 기업은 가능한 한 빨리 관련 장비 시스템의 사용을 점검하고 모니터링해야 하며, 관련 장비가 HTTP, FTP, 텔넷, SSH 등의 범용 네트워크 서비스를 열지 못하도록 하거나 방화벽 등의 네트워크 보안 제품을 사용하여 관련 포트를 필터링해야 합니다.

최고의 이미지는 산업 안전을 보장합니다.

대규모 위험 실시간 컴퓨팅 기술을 핵심으로 하는 비즈니스 보안 회사처럼, 고객이 자율적으로 통제할 수 있는 위험 보안 시스템을 구축하고 지속적인 비즈니스 성장을 실현할 수 있도록 설계되었습니다. CNNVD (National Information Security 취약점 데이터베이스) 및 CICSVD (National Industrial Information Security 취약점 데이터베이스) 의 중요한 기술 지원 단위로서 수석은 공신부, 인적자원 및 사회보장부, 단체 중앙 등 12 부서가 주관하는' 2020 전국 산업 인터넷 보안 기술 기술 대회' 입니다.

수년간의 보안 기술 연구 및 비즈니스 보안 공방 실무 경험을 바탕으로, 취약점 발굴, 알 수 없는 위협 발견, 위험 예측 및 인식, 위협 사기 및 포획, 사전 예방적 보안 방어 등의 기능을 갖춘 산업 보안 인텔리전스 보호 시스템이 출시되었습니다. 석유 석화, 에너지 전력, 철도 운송, 지능형 제조 등의 산업 분야에 전체 수명 주기를 포괄하는 보안 시스템을 제공합니다.

Top Image 고유의 인공 지능 기술과 결합된 기호 실행 및 얼룩 추적 분석을 통해 X86, X86_64, ARM, MIPS 등의 주요 아키텍처에 대한 오픈 소스 이진 파일 취약성 마이닝을 통해 메모리 오버플로우, 오버플로우 등 다양한 보안 취약점을 신속하게 찾을 수 있습니다. 수만 개의 스캔 플러그인을 자체 개발한 무손실 지능형 스캔 시스템을 통해 장비의 무결성, 취약성 및 보안을 종합적으로 감지하고 평가하여 장비의 보안, 신뢰성 및 안정성을 향상시킵니다.

, 취약성 및 보안을 통해 장비의 보안, 신뢰성 및 안정성을 향상시킵니다.