Microsoft는 Rockwell Automation PanelView Plus에서 두 가지 보안 결함이 발견되었다고 밝혔습니다. 원격의 인증되지 않은 공격자가 이 결함을 무기로 삼아 임의의 코드를 실행하고 서비스 거부(DoS) 상황을 유발할 수 있습니다.
보안 연구원인 유발 고든(Yuval Gordon)은 “PanelView Plus의 (원격 코드 실행) 취약점은 악성 DLL을 장치에 업로드하고 로드하는 데 악용될 수 있는 두 개의 사용자 정의 클래스와 관련이 있습니다.”라고 말했습니다.
“DoS 취약점은 동일한 사용자 지정 클래스를 이용하여 장치가 제대로 처리할 수 없는 정교하게 만들어진 버퍼를 보내 DoS를 발생시킵니다.”
단점 목록은 다음과 같습니다.
- CVE-2023-2071 (CVSS 점수: 9.8) – 인증되지 않은 공격자가 악성 패킷을 통해 실행되는 원격 코드를 얻을 수 있도록 허용하는 부적절한 입력 검증 취약점입니다.
- CVE-2023-29464 (CVSS 점수: 8.2) – 인증되지 않은 위협 행위자가 악의적인 패킷을 통해 메모리에서 데이터를 읽고 버퍼 크기보다 큰 패킷을 보내 DoS를 발생시킬 수 있는 부적절한 입력 검증 취약점
두 가지 결함을 성공적으로 악용하면 적대자는 원격으로 코드를 실행하거나 정보 공개 또는 서비스 거부(DoS) 상황을 초래할 수 있습니다.
CVE-2023-2071은 FactoryTalk View Machine Edition(버전 13.0, 12.0 및 이전 버전)에 영향을 미치는 반면, CVE-2023-29464는 FactoryTalk Linx(버전 6.30, 6.20 및 이전 버전)에 영향을 미칩니다.
Rockwell Automation에서 결함에 대한 권고안을 각각 2023년 9월 12일과 2023년 10월 12일에 발표한 것은 주목할 만한 일입니다. 미국 사이버 보안 및 인프라 보안 기관(CISA)은 9월 21일과 10월 17일에 자체 경고를 발표했습니다.
최근 공개된 HTTP 파일 서버의 심각한 보안 결함(CVE-2024-23692, CVSS 점수: 9.8)을 알려지지 않은 위협 행위자들이 악용해 Xeno RAT, Gh0st RAT, PlugX, GoThief와 같은 암호화폐 채굴자와 트로이 목마를 유포하고 있는 것으로 알려지면서 이러한 사실이 밝혀졌습니다. GoThief 중 마지막 악성 프로그램은 Amazon Web Services(AWS)를 사용하여 감염된 호스트로부터 정보를 훔칩니다.
템플릿 주입 사례로 설명되는 이 취약점은 원격의 인증되지 않은 공격자가 특별히 제작된 HTTP 요청을 보내 영향을 받는 시스템에서 임의의 명령을 실행할 수 있도록 허용합니다.
