Skip to content

삼성 Air conditioning data manager server 0day

February 7, 2012

러시아 보안 회사인 Gleg에서 삼성 Air conditioning data manager server 제품의 0day를 자사 프로그램에 탑재했다는 뉴스입니다.

UPDATE 1: 정확하진 않지만 아마도 이 제품을 대상으로 공격하는 모듈인 것 같습니다. Samsung DMS – http://www.samsungsystemac.com/html/index.php?option=com_content&view=article&id=24&Itemid=34
UPDATE 2: 확인 결과, 새로운 취약점이 아니라 기존에 알려진 default password 취약점 문제를 포팅한 것이라고 합니다.

 

Gleg이라는 러시아 보안 회사는 Immunity Canvas 제품의 3rd party 모듈을 만들어서 팔고 있습니다. Canvas를 기반으로 하는 3rd party를 취급하는 회사는 여러 군데가 있는데, 이 회사들은 각자가 발견한 제로데이를 Canvas 모듈 형태로 만들어 탑재시킨 후, re-selling을 합니다. 괜찮은 비지니스 모델이라고 볼 수 있죠.

Gleg 회사에서 초점을 잡고 있는 분야 중에 하나는 SCADA입니다. 사실 SCADA는 데스크탑 환경에 비해 보안적인 측면이 굉장히 열악합니다. 90년대에나 나올법한 Buffer overflow가 아직도 넘치고 있고, 취약점이 발생하는 원리를 분석해보면 정말 기초적인 것들이 많죠.

이 러시아 회사는 SCADA 제품들을 분석하고 발견한 제품에 대한 공격 모듈을 작성하여 Canvas에 탑재시키고 있습니다.

새로운 공격 모듈이 나올 때마다 업데이트가 이루어지는데, 이번 버전에 SAMSUNG 제품도 포함되어 있습니다. 문제가 되는 삼성 제품은 “Samsung air conditioning data manager server”입니다.

본 제품은 대형 빌딩에서 Air conditioning 기계들을 제어하기 위해서 사용되고 있으며, 한국을 포함하여 전 세계 15개 국가에서 사용 중인 것으로 알려져 있습니다.

Gleg SCADA+ Pack 업데이트에 포함된 삼성 제품 0day

지금까지 여러 개의 취약점이 발견된 것 같습니다. 이번 업데이트에 포함된 공격 모듈 중에 하나는 Gleg에서 발견한 0day인데, hard coding된 admin 정보 때문에 일어나는 문제입니다. (이 케이스에서 보시다시피, SCADA 분야는 여전히 기초적인 취약점이 많이 나오는 것을 알 수 있습니다.)

Gleg SCADA+ 프로그램에 삼성 SCADA 제품을 대상으로 하는 공격 모듈이 더 존재하는 것 같은데, 아직은 자세한 정보가 없군요.

본 제품을 대상으로 한 Security advisory가 그전에도 있긴 했습니다. 공개된 것으로는 웹 상에서의 SQL Injection 취약점으로 인해서 admin 권한으로 관리 메뉴에 접근할 수 있는 문제점이었습니다.

http://www.us-cert.gov/control_systems/pdf/ICSA-11-069-01.pdf
http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-11-129-01.pdf

이번에 발표된 취약점을 악용한다면 admin 권한으로 각종 관리 메뉴에 접근할 수 있게 됩니다. admin 메뉴를 통해서 어떠한 일들을 할 수 있는지 아직 알려진 바가 없기 때문에, 어떤 파급 효과를 가져올 수 있을지는 모르겠습니다.

그러나 물리적인 이슈는 언제나 심각한 잠재 위협을 갖고 있으므로 담당 관리자분들은 신속히 조치하실 것을 권고드립니다.

현재 해당 SCADA 팩에 대한 Trial을 요청해둔 상태인데, 입수하게 되면 본 삼성 제품의 취약점에 대해 좀 더 자세히 포스팅하도록 하겠습니다.

Advertisements

From → Security Misc

Leave a Comment

댓글을 남겨주세요.

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: