[보안뉴스] 몇 주 동안 문제 됐던 시트릭스 취약점, 드디어 패치 배포 시작

시트릭스 ADC와 게이트웨이에서 발견됐던 취약점...개념증명 익스플로잇도 나와
취약점 스캔 행위 크게 증가해...한 공격 단체는 백도어 심어두고 나머지 멀웨어 청소

[보안뉴스 문가용 기자] 지난 몇 주 동안 큰 화제가 됐던 시트릭스(Citrix) 제품군 취약점에 대한 패치가 드디어 배포되기 시작했다. 시트릭스의 애플리케이션 배포 제어기(Application Delivery Controller, ADC) 사용자들은 최대한 빠른 시일 안에 패치를 적용할 것이 권고된다.

시트릭스의 ADC와 게이트웨이 제품군에서 CVE-2019-19781 취약점이 발견된 건 지난 12월의 일이다. 익스플로잇에 성공할 경우 인증 과정을 무시하고 임의의 코드를 실행할 수 있게 된다. 이미 공격자들이 익스플로잇을 시도하고 있는 중이기도 하다.

시트릭스는 취약점 발표와 함께 여러 가지 대처 방안을 고객들에게 알리기도 했다. 패치를 곧바로 발표할 수 없었기 때문이다. 그러나 보안 전문가들은 “패치가 마련되지 않는 한 수천 명의 고객들이 지속적인 위험에 노출될 수밖에 없다”고 하며 패치를 촉구했다. 시트릭스도 최대한 서두르겠다고 답했다.

시트릭스가 고객들에게 제안한 위험 감소 방식들 중 제대로 작동하지 않는 것들도 있어서 문제가 더 심각하게 부각됐다. 네덜란드 정부는 시트릭스 시스템을 전부 비활성화 하라고 기업들에 강력히 촉구하기도 했다.

그런 상태에서 개념증명용 익스플로잇이 공개되기도 했었다. 시트릭스의 취약점을 검색하는 스캐닝 활동도 크게 증가하고 있다는 보고서도 나왔다. 이에 시트릭스는 패치 개발 과정을 서두른 것으로 보인다.

그 결과 ADC 11.1과 12.0 버전에 대한 픽스들이 배포되기 시작했고, 시트릭스는 1월 24일까지 12.1, 13, 10.5 버전에 대한 패치도 발표할 것이라고 약속했다. SD-WAN WANOP 제품에 대한 패치도 같은 날 이뤄질 것이라고 한다.

패치 소식이 있기 전 보안 업체 파이어아이(FireEye)는 “ADC를 겨냥한 공격이 굉장히 많이 성공하고 있다”는 내용의 보고서를 발표하기도 했다. 그 중 눈에 띄는 페이로드가 하나 있었는데 이름이 낫로빈(NotRobin)이었다. 현재까지는 취약한 시트릭스 기반 시스템에 침투해 백도어로서의 역할을 하는 것으로 알려져 있다.

파이어아이는 “낫로빈의 배후에 있는 공격자들이 침해한 시스템에서 대청소를 하고 있다”며 “추후 뭔가 큰 일을 벌이기 위해 준비를 하는 중으로 보인다”는 의견을 제시했다. 여기서 말하는 대청소란, 낫로빈 외 다른 모든 멀웨어나 악성 요소들을 지운다는 뜻이다.

“낫로빈은 CVE-2019-19781 취약점이 가진 위험 요소들을 낮춰줍니다. 청소를 통해 모든 위협들을 지워내요. 오로지 자신만을 남겨두는 것이죠. 아직 낫로빈이라는 백도어를 통해 공격자들이 이렇다 할 행동을 보여준 건 없지만, 미래를 위해 웅크리고 있다는 느낌을 지울 수가 없습니다.”

그러면서 파이어아이는 “누군가 좋은 의도로 의적 행세를 하고 있는 것일 수도 있다”는 가능성도 제시했다. “하지만 그 가능성은 1%도 되지 않는다고 봅니다.”

Source for https://www.boannews.com/media/view.asp?idx=85909

몇 주 동안 문제 됐던 시트릭스 취약점, 드디어 패치 배포 시작

Citrix Releases Patches for Critical ADC Vulnerability Under Active Attack

 

[The Hacker News]Citrix Releases Patches for Critical ADC Vulnerability Under Active Attack