Rockwell Automation은 Stratix® 5800 및 새롭게 출시된 Stratix® 5200 제품을 영향을 미치는 활용 중인 제로데이 취약성에 대한 경고를 발표했습니다. 이 취약성은 Cisco Talos에 의해 발견되어 2023년 10월 16일에 Cisco에 보고되었습니다. 이 취약성은 원격 및 인증되지 않은 공격자가 취약한 시스템에 권한 레벨 15 액세스를 가진 계정을 만들 수 있게 하며, 이 계정을 통해 해당 시스템을 제어할 수 있을 수 있습니다. 이 경고가 발표된 시점에서 패치가 없으며 활용 사례가 관측되었습니다. Rockwell Automation은 인터넷을 향한 시스템에서 Stratix® HTTP 서버를 비활성화하는 것을 권장하고 있습니다.

영향 받는 제품

• 웹 UI 기능이 활성화된 모든 버전의 Cisco IOS XE 소프트웨어를 실행하는 Stratix® 5200 및 5800입니다.
• Stratix 5800 산업용 이더넷 스위치(모든 버전)
• Stratix 5200 산업용 이더넷 스위치(모든 버전)
• 발표 시점에서 복구 방법이 없습니다.

상세내용

• 취약점 (CVE-2023-20198, CVE-2023-20273)
• 초기 액세스 권한 획득 후, 최상위 권한으로 사용자 계정 생성 및 웹 UI 기능 등을 악용하여 루트권한 획득 가능

조치방안

• 모든 인터넷 연결 시스템 상의 HTTP Server 기능에 대해 비활성화
• HTTP/HTTPS 통신이 필요한 서비스를 실행한 경우에는, 해당 서비스 접근을 신뢰할 수 있는 내부 네트워크로 제한(ACL 설정) 및 모니터링 강화
• 홈페이지 지속 확인하여 패치 버전을 업데이트(10.26 17:30 KMT 패치버전 미공개 상황임)

참고사이트

취약성 세부 정보

• 취약성은 인터넷이나 신뢰되지 않는 네트워크에 노출된 경우 Cisco IOS XE 소프트웨어의 웹 UI 기능에 존재합니다.
• 이 취약성을 통해 원격 및 인증되지 않은 공격자는 취약한 시스템에 특권 레벨 15 액세스를 가진 계정을 생성할 수 있습니다.
• CVSS 기본 점수는 10/10으로 높은 심각도를 나타냅니다.
• Cisco Talos는 이 취약성이 활발히 악용되고 있다고 확인했습니다(활용 중인 취약성 – KEV).

위험 완화 및 사용자 조치

• Rockwell Automation은 인터넷을 향한 시스템에서 Stratix® HTTP 서버를 비활성화하는 것을 권장합니다.
• HTTP 서버 기능을 비활성화하려면 전역 구성 모드에서 “no ip http server” 또는 “no ip http secure-server” 명령을 사용하십시오.
• HTTP 및 HTTPS 서버 모두 사용 중인 경우 HTTP 서버 기능을 비활성화하려면 두 명령 모두 필요합니다.
• 액세스 제어를 신중하게 구현하며 생산 서비스에 영향을 미칠 수 있으므로 주의해야 합니다.
• Cisco Talos는 보안 조치를 위한 침입 표지와 Snort 규칙을 제공합니다.

이러한 영향을 받는 Rockwell Automation 제품을 사용하는 사용자와 조직은 아직 패치가 제공되지 않았으므로 활용 중인 이 취약성이 가지는 위험을 완화하기 위해 즉시 조치를 취해야 합니다.