미국 사이버 보안 기관 CISA는 중요한 인프라에 사용되는 Optigo Networks ONS-S8 집합 스위치 제품에서 인증 우회 및 원격 코드 실행을 허용하는 두 가지 심각한 취약점에 대해 경고했습니다.
이 결함은 비밀번호 요구 사항을 우회할 수 있는 취약한 인증 문제와 원격 코드 실행, 임의 파일 업로드 및 디렉터리 탐색으로 이어질 수 있는 사용자 입력 유효성 검사 문제와 관련이 있습니다.
이 장치는 전 세계적으로 중요한 인프라 및 제조 단위에서 사용되며, 낮은 공격 복잡성으로 결함을 원격으로 악용할 수 있다는 점을 고려하면 위험이 매우 높은 것으로 간주됩니다.
현재는 사용할 수 있는 수정 사항이 없으므로 사용자는 캐나다 공급업체가 제안한 완화 조치를 적용하는 것이 좋습니다.
첫 번째 결함은 다음과 같이 추적됩니다. CVE-2024-41925 이는 사용자가 제공한 파일 경로의 잘못된 유효성 검사 또는 삭제로 인해 발생하는 PHP 원격 파일 포함(RFI) 문제로 분류됩니다.
공격자는 이 취약점을 이용하여 디렉터리 탐색을 수행하고, 인증을 우회하고, 임의의 원격 코드를 실행할 수 있습니다.
두 번째 문제는 다음과 같이 추적됩니다. CVE-2024-45367는 인증 메커니즘에 대한 부적절한 비밀번호 확인 시행으로 인해 발생하는 약한 인증 문제입니다.
이를 악용하면 공격자는 스위치 관리 인터페이스에 대한 무단 액세스 권한을 얻고, 구성을 변경하고, 중요한 데이터에 액세스하거나, 다른 네트워크 지점으로 전환할 수 있습니다.
두 문제 모두 Claroty Team82에 의해 발견되었으며 CVSS v4 점수 9.3으로 중요 등급으로 평가되었습니다. 이 취약점은 1.3.7까지의 모든 ONS-S8 Spectra Aggregation Switch 버전에 영향을 미칩니다.
스위치 보안
CISA에서는 이러한 결함이 적극적으로 악용되는 징후를 발견하지 못했지만 시스템 관리자는 결함을 완화하기 위해 다음 조치를 수행하는 것이 좋습니다.
- ONS-S8 관리 트래픽을 전용 VLAN에 배치하여 일반 네트워크 트래픽과 분리하고 노출을 줄입니다.
- OT 네트워크 관리를 위한 안전하고 독점적인 액세스를 보장하려면 BMS 컴퓨터의 전용 NIC를 통해서만 OneView에 연결하세요.
- 특정 장치를 화이트리스트에 추가하도록 라우터 방화벽을 구성하여 OneView 액세스를 인증된 시스템으로만 제한하고 무단 액세스를 방지합니다.
- 암호화된 통신을 보장하고 잠재적인 가로채기로부터 보호하려면 OneView에 대한 모든 연결에 보안 VPN을 사용하세요.
- 위험 평가를 수행하고, 계층화된 보안(심층 방어)을 구현하고, ICS 보안 모범 사례를 준수함으로써 CISA의 사이버 보안 지침을 따르십시오.
CISA는 이러한 장치에서 의심스러운 활동을 관찰하는 조직이 위반 프로토콜을 따르고 사건을 추적하고 다른 사건과 연관시킬 수 있도록 사이버 보안 기관에 사건을 보고할 것을 권장합니다.