지멘스 SIMATIC 및 SIPLUS 제품, S7 프로토콜 취약점으로 DoS 공격 위험 (ICSA-26-015-04)

지멘스 ET 200SP 장치, 치명적 DoS 취약점 영향 받다

미국 사이버보안 및 인프라 보안국(CISA)은 지멘스 SIMATIC ET 200SP 및 SIPLUS 제품에서 발견된 서비스 거부(DoS) 취약점을 ICSA-26-015-04로 공개했습니다. 이 취약점은 공격자가 특수하게 조작된 **S7 프로토콜 연결 해제 요청(COTP DR TPDU)**을 전송하여 장치를 응답 불능 상태로 만들 수 있으며, 영향을 받은 장치는 수동 전원 재시작을 통해 복구해야 합니다.

기술적 세부 사항

이 취약점은 S7 프로토콜에서 사용되는 연결 지향형 전송 프로토콜(COTP) 연결 해제 요청 TPDU의 부적절한 처리에서 발생합니다. S7 프로토콜은 산업용 통신 표준으로 널리 사용되며, 공격자는 네트워크 접근 권한만 있으면 유효하지만 악의적인 연결 해제 요청을 전송하여 장치를 응답 불능 상태로 만들 수 있습니다. 공격에는 인증이 필요하지 않습니다.

지멘스는 이 문제를 해결하기 위한 펌웨어 업데이트를 배포했습니다. 사용자는 가능한 한 빨리 해당 패치를 적용해야 합니다. 자세한 기술 사양 및 패치 정보는 **CSAF 권고안**을 참조하십시오.

영향 분석

• 운영 중단: 성공적인 공격은 산업 환경에서 계획되지 않은 가동 중단을 초래할 수 있으며, 특히 지멘스 ET 200SP를 프로세스 제어에 사용하는 분야에서 치명적입니다.
• 물리적 결과: 제조, 에너지 등 중요 인프라에서 장치 응답 불능은 안전 위험이나 생산 중단으로 이어질 수 있습니다.
• 공격 가능성: 현재까지 활성 악용 사례는 보고되지 않았지만, 공격 난이도가 낮아 기회주의적 공격 위험이 높습니다.

보안 팀을 위한 권장 조치

1. 즉시 지멘스 패치 적용: 영향을 받는 SIMATIC ET 200SP 및 SIPLUS 장치를 최신 펌웨어 버전으로 업데이트하십시오. 버전별 안내는 지멘스 공식 권고안을 참조하세요.
2. 네트워크 세분화: OT 네트워크를 IT 환경과 분리하여 잠재적 공격 노출을 제한하십시오.
3. S7 프로토콜 트래픽 모니터링: 비정상적인 연결 해제 요청을 탐지하기 위해 **침입 탐지/방지 시스템(IDS/IPS)**을 배포하십시오.
4. 사고 대응 계획 수립: 영향을 받은 장치에 대한 수동 전원 재시작 절차를 포함한 복구 프로토콜을 마련하십시오.
5. CISA 권고안 검토: 추가 업데이트나 완화 조치를 위해 **CISA 원본 권고안**을 정기적으로 확인하십시오.

산업 제어 시스템(ICS)을 관리하는 보안 팀은 높은 영향도와 낮은 공격 난이도를 고려하여 이 패치를 우선 적용해야 합니다.