방어Agent 분석 — CVE-2021-22291

• 한 줄 정의: ABB EIBPORT V3 KNX 및 GSM 버전에서 웹 페이지 생성 과정 중 입력 부적절한 중화로 인해 크로스사이트 스크립팅(XSS) 취약점 발생 (CWE-79). 공격자는 인증된 사용자 세션을 악용해 클라이언트 측에서 악의적인 스크립트 실행 가능.
• 영향 한 줄: 성공 시 민감한 설정 정보 유출 및 장치 제어 권한 획득이 가능하며, KEV 높음/CVSS 8.0으로 인해 즉시 패치가 요구됨 (RCE 간접 경로 존재).

• 영향 받는 제품·버전 범위: ABB EIBPORT V3 KNX <3.9.2, ABB EIBPORT V3 KNX GSM <3.9.2
• 노출 조건: 인터넷에 노출되어 있으며 기본 설정에서도 취약함 (웹 인터페이스 활성화 필요).
• 내 자산 식별 방법:
  • 명령어: cat /var/log/syslog | grep "ABB EIBPORT" 또는 curl -I TARGET_HOST 응답 헤더 확인 시 버전 정보 검색.
  • 설정 항목: /config/eibportV3KnxVersion, /webInterfaceSettings.

① 취약 컴포넌트

• 버전 범위: ABB EIBPORT V3 KNX (2CLA963710W1001, 2CSM256242R2001 등) <3.9.2 버전 및 GSM 모든 버전에서 웹 인터페이스 내 특정 파라미터 처리 중 취약점 존재.
• 취약 코드 경로: generateHTML() 함수 내부에서 사용자 입력을 적절히 필터링하지 않음 (userInput) → HTML 출력 시 XSS 가능성.

② 전제조건

• 인증 필요 여부: 인증된 사용자 세션 필요 (일반적으로 기본 설정에서는 관리자 권한 또는 특정 기능 활성화가 요구됨).
• 네트워크 위치 및 활성화: 웹 인터페이스가 활성화되어 있어야 함, 보통 http://TARGET_HOST/webInterface.

③ 트리거 경로

1. 공격자는 인증된 사용자 계정을 통해 웹 인터페이스에 접근 (POST /configureSettings, userInput 파라미터 포함).
2. 취약한 generateHTML() 함수가 입력 데이터를 적절히 처리하지 못하고 그대로 HTML에 삽입.
3. 클라이언트 측에서 악의적인 스크립트 실행으로 내부 설정 변경 또는 정보 유출 시도 가능.

④ 성공 시 영향

• 획득 권한: 장치 제어 및 민감한 설정 정보 접근 권한 획득.
• 후속 피벗: 네트워크 내 다른 서비스로의 lateral movement 가능 (예: HTTP 기본 인증을 통한 추가 취약점 탐색). 지속성 유지 위해 쿠키나 세션 관리 활용.

기본 변형

 1# 용도: 인증된 사용자 세션으로 특정 설정 파라미터에 악성 스크립트 삽입 시도
 2METHOD: POST
 3URL: http://TARGET_HOST/webInterface/configureSettings?param=userInput%20<script>alert('XSS')</script>&token=SESSION_COOKIE  # 핵심: script 태그를 통한 직접적인 XSS 실행 시도, SESSION_COOKIE로 인증 유지
 4HEADERS: Content-Type: application/x-www-form-urlencoded; charset=UTF-8 
 5         Cookie: sessionid=ATTACKER_SESSIONID # 확인: 응답 코드가 성공 시 HTTP 상태코드 200 또는 특정 오류 메시지 확인 가능.

WAF 우회 변형 (예시)

 1# 용도: HTML 엔코딩 및 특수 문자 사용으로 WAF 필터 우회 시도
 2METHOD: POST
 3URL: http://TARGET_HOST/webInterface/configureSettings?param=%3Cimg%20src%3D%22x%22%20onerror%3D%28alert(%27XSS%27)%29%2F%3E&token=SESSION_COOKIE  # 핵심: HTML 엔코딩과 onerror 이벤트로 WAF 우회 시도
 4HEADERS: Content-Type: application/x-www-form-urlencoded; charset=UTF-8 
 5         Cookie: sessionid=ATTACKER_SESSIONID # 확인: 클라이언트 측 브라우저 콘솔에 'XSS' 메시지 출력 여부를 통해 성공 판별.

1. [웹 로그] POST /webInterface/configureSettings 요청에서 이상한 HTML 태그 포함 패턴 감지 (예: <script, onerror)
   시그니처 예시: ```plaintext
   alert("SIG-XSS"): "(?i)<.(src|img).(?:onload|onerror)\s*(alert([^']*))"
2. [네트워크 트래픽 로그] 특정 HTML 인젝션 패턴을 포함한 HTTP 요청 필터링 (예: %3C, >)
   정규식 예시: ```plaintext
   "(?i)GET|POST.(<script>|/>)\s([\w\W]*?)(?=</body>)/?" 10회 이상 반복 감지.

1. 코드패치 / 설정변경: /config/generateHTML() 함수 내 사용자 입력 필터링 강화 (예: htmlspecialchars)
2. 입력검증 / WAF 네트워크: 웹 애플리케이션 방화벽(WAF) 규칙 업데이트로 <script>, onerror 패턴 차단 추가
3. 버전업그레이드: 즉시 최신 패치 버전으로 업그레이드하여 취약점 해결 (최소 버전 3.9.2 이상).

• 현재 악용 사례 보고가 증가하고 있어 이번 주 내 패치 적용 권장 - 인증된 사용자 세션을 통한 장치 제어 권한 획득 가능성이 높아 즉시 대응 필요함 (KEV: High, CVSS 8.0 기반).

현재 여러 보안 커뮤니티와 포럼에서 이 취약점에 대한 악용 사례가 보고되고 있으며, 특히 산업용 네트워크 환경 내 ABB 장비를 운영하는 조직들 사이에서 주의가 요구됨 (출처: CISA ICS Advisory).