2020-02-29 06:20 (토)
시트릭스 엔터프라이즈 장비에 심각한 보안취약점 공개돼
상태바
시트릭스 엔터프라이즈 장비에 심각한 보안취약점 공개돼
  • 페소아 기자
  • 승인 2020.01.13 13:56
이 기사를 공유합니다

해커가 장비 장악하고 회사 내부 네트워크에 접속할 수 있는 취약점
시트릭스, 이번달 말 보안패치 발표 예정

시트릭스(Citrix) 엔터프라이즈 장비의 취약점인 CVE-2019-19781에 대한 개념 증명 코드가 공개되었다. 해커가 장비를 장악하고 회사 내부 네트워크에 접속할 수 있는 취약점이라 각별한 주의가 요구된다.

인포섹 커뮤니티에서 쉬트릭스(Shitrix)로 코드네임이 붙은 이 취약점은 NetScaler ADC로 알려진 Citrix Application Delivery Controller과 NetScaler Gateway로 알려진 Citrix Gateway에 영향을 미친다. 이 취약점은 최근 공개된 버그 중 가장 위험한 버그중 하나로 간주된다.

이 취약점은 공격자가 인터넷을 통해 공격 가능한 경로 탐색 버그이다. 공격자는 공격을 시작할 때 장치에 인증 자격 증명을 제공할 필요가 없이 장치에서 실행하려는 익스플로잇 코드와 함께 취약한 시트릭스 어플라이언스에 부비 트랩화된 요청을 보내면 된다.

이 버그는 보안회사 포지티브 테크놀로지(Positive Technologies)의 연구원인 미하일 크루치니코브(Mikhail Klyuchnikov)가 발견하여 보고했다. 크루치니코브는 버그를 발견했을 당시 80,000개 이상의 단체가 취약한 시트릭스 인스턴스를 사용하고 있었다고 말했다.

시트릭스는 12월 17일 고객들에게 보안 권고를 발표했지만, 패치를 발표하지는 않았다. 대신 시트릭스는 구성 조정 형식으로 버그 완화에 대해 자세히 설명하는 지원 페이지를 게시했다.

그러나 거의 한달이 지났음에도 시트릭스는 버그의 심각성과 광범위한 영향에도 불구하고 여전히 패치를 발표하지 않았다.

한편 위협 행위자들은 버그를 악용하는 방법을 찾기 시작했다. 많은 보안 연구원들은 이에 대해 사소하며 단 몇 줄의 코드만 요구될 뿐이라고 설명한다. 허니팟 서버를 운영하는 다양한 보안 전문가와 사이버 보안 회사에 따르면 스캔이 몇 주 동안 이루어졌고 적어도 3일동안 익스플로잇 시도가 시작되었다.

지난 몇 주 동안 보안 전문가, 정부 공무원, 정부 사이버 보안 기관, CERT 팀 및 기본 기업 보안을 이해하는 사람들은 시트릭스가 패치의 형태로 영구적인 수정을 내놓을 때까지 취약한 머신들을 공격으로부터 보호하기 위해 시트릭스 완화 방법을 적용해야 한다고 경고하고 있다.

며칠 동안 공격 강도가 서서히 증가하고 있었지만, 보안계에서는 공격자들이 여전히 공개된 익스플로잇이 부족한 상황에서 취약한 시트릭스 시스템을 이용할 방법을 찾아야하기에 상황이 통제불능이 되지는 않을 것이라고 생각했다.

그러나 금요일밤 Project Zero India 로 자신들을 명명한 그룹이 CVE-2019-19781 취약점에 대한 최초의 개념 증명(PoC) 악용 코드를 공개하면서 상황이 바뀌었다.

또한 몇 시간 후 트러스티드섹(TrustedSec)팀 역시 자체 PoC를 따라 공개했다. 이 팀은 주초에 PoC를 개발했지만 인터넷에 공개하면 악용 시도가 급증할 것으로 판단하여 공개하지 않았었다. 그들은 깃허브에 공개한 툴에 대한 설명에서 아래와 같이 말했다.

팀 관계자는 "우리는 다른 사람들이 먼저 공격 코드를 공개했기에 이것을 공개할 뿐이다. 우리는 방어자들이 그들의 시스템을 조정할 적절한 시간 동안 이 코드를 공개하지 않기를 바랬다."고 밝혔다.

그들은 회사들이 회사 네트워크의 취약한 시트릭스 인스턴스를 테스트하고 완화 방법을 제대로 적용시켰는지 확인하기 위해 자신들의 툴을 사용하기를 희망했다.

한편 시트릭스는 1월 12일, 자사 블로그를 통해 CVE-2019-19781에 대한 패치를 이번 달 말에 내놓을 것이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★