발전소 제어망, 수처리 시설, 화학 플랜트에서 레거시 직렬 장치를 IP 네트워크에 연결하는 Lantronix EDS5000이 인증 없는 원격 루트 권한 탈취 공격에 노출됐다. Forescout은 패치 릴리스(2월 20일) 44일 만인 4월 5일에 자동화 공격이 시작됐음을 허니팟 관측으로 확인했다. 2026년 6월 23일 CISA는 (CVSS 9.8)을 KEV 카탈로그에 등재하고 FCEB 기관에 3일 내 패치를 의무화했다. 공개 PoC 코드가 이미 유포 중인 것으로 알려져 있다.
배경 — 왜 이 취약점이 위험한가
Lantronix EDS5000은 RS-232/422/485 직렬 장치를 이더넷에 연결하는 디바이스 서버다. OT 환경에서 패치 사이클은 몇 달에서 몇 년이 걸리는데, 의 CVSS 벡터는 그 지연이 치명적인 이유를 수치로 보여준다. 인터넷에서 직접 공격 가능하고(AV:N), 특별한 조건 없이(AC:L), 계정 없이(PR:N), 피해자 행동 없이도(UI:N) 공격이 완결된다. 네 조건이 동시에 성립하는 취약점은 스캐너 하나로 수만 개 장치를 일괄 공격할 수 있다는 의미다.
ZoomEye 집계 기준 약 54,500개의 Lantronix 장치가 인터넷에 노출돼 있으며, 실제 배포 규모는 수백만 개로 추정된다. Forescout의 BRIDGE:BREAK 연구는 이 제품군에서 을 포함해 총 8개 취약점을 발견했다.
메커니즘 — 결함이 어떻게 작동하는가
EDS5000은 OpenWRT 기반 운영체제를 사용하며, 웹 관리 기능은 LuCI 인터페이스를 통해 /cgi-bin/luci/rpc/auth 엔드포인트로 노출된다. 취약점은 이 엔드포인트의 HTTP RPC 인증 처리 모듈에 있다.
인증 실패 시 로그를 남기기 위해 모듈이 username 값을 쉘 명령 문자열에 직접 이어 붙이는 구조가 문제다. 정상 흐름은 "클라이언트 POST 요청 → 인증 모듈 수신 → 인증 실패 → 실패 로그 기록"인데, 이 로그 기록 단계에서 username이 필터링 없이 쉘에 전달된다. 공격자가 $(...) 또는 ; 같은 쉘 메타문자를 username 필드에 포함시키면, 로그 명령이 실행될 때 그 안에 삽입된 OS 명령이 루트 권한으로 함께 실행된다.
Forescout 분석에 따르면 공격자는 "lntxe" 핑거프린트 문자열로 Lantronix EDS 장치를 식별하며, 단일 허니팟에 4,100건 이상의 인증 시도가 기록됐다. 다만 이 메커니즘 설명은 Forescout 단일 분석에 기반한 추정이므로 세부 코드 경로는 Lantronix 공식 어드바이저리를 확인하는 것을 권장한다.
악용 전개 — 패치 공개부터 CISA 경고까지
Forescout의 분석에 따르면 Chaya_006은 패치 공개 직후 역공학을 통해 익스플로잇을 개발한 것으로 추정된다. BRIDGE:BREAK 연구 공개(4월 21일) 이후 공격이 가속화됐다. CISA는 이 취약점을 BOD 26-04 적용 대상으로 분류해 FCEB 기관에 3일 내 패치를 의무화했다.
은 Silex Technology SD330-AC에서 발견된 취약점들과 함께 같은 BRIDGE:BREAK 연구에 포함됐다. 이 연구는 시리얼-투-이더넷 컨버터 제품군이 광범위한 OT 환경에 배포됐음에도 보안 연구가 거의 이루어지지 않았음을 드러냈다.
탐지 관점 — 공격자가 남기는 흔적
공격은 탐지 가능한 패턴을 반드시 남긴다.
HTTP 로그 지표: 공격자는 /cgi-bin/luci/rpc/auth 엔드포인트로 POST 요청을 보내며, username 또는 luci_username 파라미터에 $(, ;, `, | 같은 쉘 메타문자가 포함된다. 웹 접근 로그에서 이 패턴을 탐지할 수 있다. "lntxe" 또는 "ltrx_eds5k_rpc" 문자열이 요청에 포함되면 이는 Chaya_006이 사용한 장치 핑거프린팅 시그니처다.
연속 인증 시도: 4,100건 이상의 단일 소스 연속 인증 실패는 이 공격의 자동화된 특성을 보여준다. OT 네트워크에서 EDS5000 장치로의 빠른 연속 HTTP 요청은 이상 신호로 간주될 수 있다.
아웃바운드 연결: 침해 이후 EDS5000으로부터 예상치 못한 외부 IP로의 아웃바운드 연결이 발생한다. OT 장치에서 시작되는 아웃바운드 연결은 그 자체로 즉각적인 조사 대상이다.
MITRE ATT&CK 매핑: 이 공격의 핵심은 T1190 — Exploit Public-Facing Application (Initial Access, TA0001)에 해당한다. 인터넷에 노출된 EDS5000의 취약한 인증 엔드포인트를 통해 네트워크 침투가 이루어진다.
한국 관점 — 아시아 공격 인프라와 OT 보안
Forescout은 Chaya_006의 공격 인프라에 일본·한국·대만·중국 기반 IP가 포함됐음을 확인했다. 한국 IP(160.238.37.28)가 스캐너 목록에 포함됐다는 사실은 국내 서버 또는 망 인프라가 이 공격 체인에 동원됐을 가능성을 시사한다. 국내 네트워크에서 해당 IP를 소스로 하는 트래픽이 확인됐다면 Chaya_006 공격 체인의 일부로 볼 수 있다.
Lantronix EDS5000 계열 장치는 국내 산업 시설에서도 레거시 직렬 장치의 네트워크 연결 용도로 사용된다. 인터넷에 직접 노출된 유사 장치가 있다면 의 직접적인 위협 범위 안에 있다고 봐야 한다. 인증 없이 루트 권한을 탈취할 수 있는 이 취약점이 발전소·수처리·화학 플랜트의 직렬 통신 장치에 적용된다면, 물리적 제어 시스템에 대한 네트워크 접근 경로가 열리는 구조다.