Rockwell Automation은 Stratix® 5800 및 새롭게 출시된 Stratix® 5200 제품을 영향을 미치는 활용 중인 제로데이 취약성에 대한 경고를 발표했습니다. 이 취약성은 Cisco Talos에 의해 발견되어 2023년 10월 16일에 Cisco에 보고되었습니다. 이 취약성은 원격 및 인증되지 않은 공격자가 취약한 시스템에 권한 레벨 15 액세스를 가진 계정을 만들 수 있게 하며, 이 계정을 통해 해당 시스템을 제어할 수 있을 수 있습니다. 이 경고가 발표된 시점에서 패치가 없으며 활용 사례가 관측되었습니다. Rockwell Automation은 인터넷을 향한 시스템에서 Stratix® HTTP 서버를 비활성화하는 것을 권장하고 있습니다.

영향 받는 제품

  • 웹 UI 기능이 활성화된 모든 버전의 Cisco IOS XE 소프트웨어를 실행하는 Stratix® 5200 및 5800입니다.
  • Stratix 5800 산업용 이더넷 스위치(모든 버전)
  • Stratix 5200 산업용 이더넷 스위치(모든 버전)
  • 발표 시점에서 복구 방법이 없습니다.

상세내용

  • 취약점 (CVE-2023-20198, CVE-2023-20273)
  • 초기 액세스 권한 획득 후, 최상위 권한으로 사용자 계정 생성 및 웹 UI 기능 등을 악용하여 루트권한 획득 가능

조치방안

  • 모든 인터넷 연결 시스템 상의 HTTP Server 기능에 대해 비활성화
  • HTTP/HTTPS 통신이 필요한 서비스를 실행한 경우에는, 해당 서비스 접근을 신뢰할 수 있는 내부 네트워크로 제한(ACL 설정) 및 모니터링 강화
  • 홈페이지 지속 확인하여 패치 버전을 업데이트(10.26 17:30 KMT 패치버전 미공개 상황임)

참고사이트

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

취약성 세부 정보

  • 취약성은 인터넷이나 신뢰되지 않는 네트워크에 노출된 경우 Cisco IOS XE 소프트웨어의 웹 UI 기능에 존재합니다.
  • 이 취약성을 통해 원격 및 인증되지 않은 공격자는 취약한 시스템에 특권 레벨 15 액세스를 가진 계정을 생성할 수 있습니다.
  • CVSS 기본 점수는 10/10으로 높은 심각도를 나타냅니다.
  • Cisco Talos는 이 취약성이 활발히 악용되고 있다고 확인했습니다(활용 중인 취약성 – KEV).

위험 완화 및 사용자 조치

  • Rockwell Automation은 인터넷을 향한 시스템에서 Stratix® HTTP 서버를 비활성화하는 것을 권장합니다.
  • HTTP 서버 기능을 비활성화하려면 전역 구성 모드에서 “no ip http server” 또는 “no ip http secure-server” 명령을 사용하십시오.
  • HTTP 및 HTTPS 서버 모두 사용 중인 경우 HTTP 서버 기능을 비활성화하려면 두 명령 모두 필요합니다.
  • 액세스 제어를 신중하게 구현하며 생산 서비스에 영향을 미칠 수 있으므로 주의해야 합니다.
  • Cisco Talos는 보안 조치를 위한 침입 표지와 Snort 규칙을 제공합니다.

이러한 영향을 받는 Rockwell Automation 제품을 사용하는 사용자와 조직은 아직 패치가 제공되지 않았으므로 활용 중인 이 취약성이 가지는 위험을 완화하기 위해 즉시 조치를 취해야 합니다.

댓글 달기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.

아마존 해외 구매: 서버, 네트워크, 노트북 구매

Amazon Best Sellers Servers

Amazon Best Sellers Networking

Amazon Best Sellers Laptops

위로 스크롤