Home > 전체기사
시트릭스 제품의 취약점, 패치도 안 됐는데 익스플로잇부터 나와
  |  입력 : 2020-01-14 13:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
시트릭스 제품에서 발견된 취약점, 원격 코드 실행 가능케 해주는 위험 요소
아직 패치 나오지 않았는데...두 연구 단체가 별도로 개념증명용 코드 공개해버려


[보안뉴스 문가용 기자] 최근 시트릭스(Citrix) 일부 제품 및 서비스에서 발견된 취약점이 아직도 패치가 되지 않고 있다. 더 시간을 끌었다가는 큰일이 날 수 있다는 경고의 목소리가 나오고 있다.

[이미지 = iclickart]


문제가 된 것은 시트릭스의 애플리케이션 딜리버리 컨트롤러(Application Delivery Controller, ADC)와 시트릭스 게이트웨이(Citrix Gateway) 제품군들이다. 원격 익스플로잇이 가능한 취약점인 CVE-2019-19781이 최근 패치되고 공개됐는데, 얼마 전 깃허브(GitHub)에 개념증명용 익스플로잇 코드가 등장했다. 그것도 두 연구 단체가 별도로 연구를 진행해 올린 것이라고 한다.

하나는 프로젝트 제로 인디아(Project Zero India)라는 보안 연구 단체, 다른 하나는 보안 컨설팅 업체인 트러스티드섹(TrustedSec)에서 만든 것으로 밝혀졌다. 트러스티드섹의 경우 자신들이 개발한 익스플로잇을 시트릭스매시(Citrixmash)라고 부른다. 이 두 단체 모두 “최근 CVE-2019-19781에 대한 스캐닝 행위가 급증하고 있다”며 “공격자들이 시동을 걸기 시작한 모양”이라고 경고했다.

취약점이 공개된 것은 12월 말 정도로, 시트릭스는 아직 패치를 개발하지 않았다. 보안 전문가들은 이 취약점이 매우 위험하다고 보고 있는데, 그 이유는 임의의 코드를 원격에서 실행할 수 있게 해주기 때문이다. 게다가 문제가 되고 있는 시트릭스의 제품은 기업 네트워크에서 널리 사용되고 있다.

심지어 익스플로잇이 어려운 것도 아니라고 트러스티드섹은 주장한다. “저희 같은 경우 시트릭스 제품에 대한 방대하거나 깊은 지식을 가지고 있지 않았습니다. 공개된 자료들과 설명서만으로 이번 익스플로잇을 만들어냈을 정도입니다. 해킹을 전문으로 하는 공격자들이라면, 더한 일도 충분히 할 수 있을 것입니다.” 시트릭스는 패치가 1월 20일 경에 나올 것이라고 발표했다.

이에 국토안보부의 사이버 보안 담당 기관인 CISA는 이번 주 월요일 시트릭스 ADC와 게이트웨이 소프트웨어가 CVE-2019-19781에 취약한지 시험해볼 수 있게 해주는 툴을 무료로 배포하기 시작했다. 이 툴은 여기(https://github.com/cisagov/check-cve-2019-19781)서 열람 및 활용이 가능하다.

패치가 나오기 전에 익스플로잇 코드가 먼저 나온 것은 그리 바람직한 현상이 아니다. 보안 업체 트립와이어(Tripwire)의 수석 보안 연구원인 크레이그 영(Craig Young)은 “ADC 로그인 포털을 인터넷에 노출시켜서 사용하는 조직이라면, 아마 지금쯤 침해된 상태라고 봐도 무방하다”고까지 표현한다. “해커들은 실험 정신이 강한 부류입니다. 익스플로잇이 나왔으니 특별한 공격 목표가 없어도 당장 인터넷을 스캔해서 사용할 겁니다.”

그러면서 영은 “대부분 침투 성공한 후 암호화폐 채굴을 할 것으로 예상한다”고 말한다. “장기적 목표가 없는 이상 침투한 후 코드 실행 권한을 가지게 됐으니 급한대로 채굴을 시작하거나, 접근 권한을 다크웹 시장에 판매하는 게 가장 먼저 생각날 것입니다. 주요 기관이나 업체에 대한 접근 권한이라면 많은 사람들이 노릴 것입니다.”

이러한 공격에 취약한 시트렉스 시스템들은 얼마나 될까? 트립와이어가 스캐닝을 실시한 바로는(취약점 공개 후 21일이 지난 시점) 3만 9378개가 나왔다고 한다. 이 중 1/3 정도 되는 1만 3321개는 미국에 있었고, 독일에 4552개, 영국에 3321개, 스위스에 1725개, 호주에 1618개 있는 것으로 나타났다. 이 중 꽤나 ‘중요한’ 위치에 있는 조직과 기업들도 다수 포함되어 있다고 한다.

사이버 위협 첩보 전문 업체인 배드 패키츠(Bad Packets)가 주말 동안 집계한 바에 의하면 현재까지 취약한 채로 남아있는 시스템은 약 2만 5100대 정도 된다고 한다. 배드 패키츠 또한 “이 취약점을 스캔하는 행위가 최근 크게 늘어나고 있는 추세”라고 경고했다. “특히 독일과 폴란드에 위치한 호스트들에서 이러한 행위가 두드러지게 나타났습니다.”

시트릭스 제품에서 문제가 되고 있는 이 취약점은, 최근 일부 VPN 제품에서 나타난 취약점과 상당히 흡사하다고 영은 강조했다. “트래블엑스(Travelex)가 최근 이 VPN 취약점 때문에 서비스 마비라는 불필요한 피해를 겪기도 했었죠. 공격자들은 이 취약점을 통해 각종 정보를 빼가더니 결국에는 랜섬웨어까지 퍼트려 600만 달러를 달라고 협박하기도 했습니다.” 트래블엑스는 이 거래에 응하지 않은 것으로 알려져 있다.

3줄 요약
1. 12월 말 경 시트릭스 제품에서 발견된 취약점, 아직 패치 안 됨.
2. 그런 가운데 누군가 익스플로잇 코드를 깃허브에 공개함.
3. 이 때문에 지금 시트릭스 사용 조직들은 큰 위험에 노출된 상태.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)