• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

시트릭스, 관리 인터페이스에서 제로데이 취약점 발견... 인터넷 노출 주의 2024.01.18

관리 인터페이스에서 인증된 낮은 권한 원격코드 실행 제로데이 취약점 발견
서비스 거부 취약점 발견...NetScaler ADC 및 NetScaler Gateway 버전 12.1 사용자 주의
장비 업그레이드 및 인터넷에 노출하지 않도록 주의해야

[보안뉴스 김경애 기자] 시트릭스(Citrix)는 NetScaler ADC(이전의 Citrix ADC) 및 NetScaler Gateway(이전의 Citrix Gateway)에서 제로데이 취약점 2개가 발견돼 이용자들의 각별한 주의가 요구된다.


이번에 발견된 제로데이 취약점은 CVE-2023-6548로 관리 인터페이스에서 인증된 낮은 권한 원격코드 실행 취약점이다. 이는 관리 인터페이스 액세스 권한이 있는 NSIP, CLIP 또는 SNIP에 대한 액세스가 필요한 실행 취약점이다. CVSS 점수 5.5로 높진 않으나, 제로데이 취약점인 만큼 각별한 주의가 필요하다.

다음은 CVE-2023-6549로 서비스 거부 취약점이다. 이는 어플라이언스가 게이트웨이 또는 AAA 가상서버로 동작하는 경우에 취약하다는 의미다. CVSS 점수는 8.2로 위험도가 높아 피해를 입지 않도록 모니터링과 함께 취약점 점검 등 각별히 신경써야 한다. 영향을 받는 버전은 다음과 같다.

△NetScaler ADC 및 NetScaler Gateway 14.1 14.1-12.35 이전
△NetScaler ADC 및 NetScaler Gateway 13.1 13.1-51.15 이전
△NetScaler ADC 및 NetScaler Gateway 13.0 13.0-92.21 이전
△NetScaler ADC 및 NetScaler Gateway 버전 12.1(현재 단종)
△NetScaler ADC 13.1-FIPS 13.1-37.176 이전
△NetScaler ADC 12.1-FIPS(12.1-55.302 이전) 및
△NetScaler ADC 12.1-NDcPP 12.1-55.302 이전이다.

추가 세부사항을 공유하지 않은 시트릭스는 “완화되지 않은 어플라이언스에서 이러한 CVE의 악용이 관찰됐다”며 “NetScaler ADC 및 NetScaler Gateway 버전 12.1 사용자는 패치 지원 버전으로 장비를 업그레이드하고, 악용 위험을 줄이기 위해 관리 인터페이스가 인터넷에 노출하지 않도록 주의할 것”을 당부했다.

특히 최근 몇 달 동안 시트릭스 어플라이언스의 여러 보안 취약점(CVE-2023-3519 및 CVE-2023-4966)은 공격자에 의해 무기화 된 바 있다. 웹셸을 드롭하고 기존에 인증된 세션을 가로채는 데 사용돼 각별한 주의가 필요하다.

해당 취약점과 관련해 플레인비트 김진국 대표는 “코로나19를 거치면서 외부에 노출되는 서비스가 증가했고, 이에 따라 공격자의 관심도 노출된 서비스의 취약점을 찾는 데 집중하고 있다”며 “재택근무 환경, 클라우드 전환 등으로 온프레미스의 통제만으로 충분한 보안수준을 달성하기 어렵기 때문에 내·외부의 인터페이스 역할을 할 수 있는 접점에 대한 취약점 관리가 상시적으로 이뤄져야 한다”고 말했다.

리니어리티 한승연 대표는 “이번에 나온 원격코드(RCE) 실행 취약점은 관리자 인터페이스에 대한 접근권한 등이 있어야 해 CVE 위험도 요소 점수가 낮은 편이지만, 실제 공격사례가 있다는 점에서 눈여겨 봐야 한다”며 “해당 솔루션은 패치 관리는 물론 관리 포트의 인터넷 망분리 등의 보안조치가 중요하다”고 강조했다.

스틸리언 신동휘 CTO는 “CVE-2023-6548은 CVSS 스코어(Score)를 보면 취약점 위험 등급이 낮은데, 그 이유는 공격자가 원격코드 실행을 위해서는 내부에서의 권한이 있어야 하기 때문”이라며, “외부 공격자 관점에서 취약점을 활용하기 위해서는 이미 내부에 들어와 낮은 권한이라도 권한을 갖고 있어야 한다”고 설명했다. 즉, 외부자보다는 내부자가 악용하기 좋은 취약점일 수 있어 내부 모니터링이 중요하다는 얘기다.

이어 신동휘 CTO는 “CVE-2023-6549의 경우는 외부에서 공격자가 악용할 수 있는 취약점”이라며, “가용성에 영향을 주는 만큼 취약점이 주는 파급력 즉, 서비스 거부 공격의 탐지 가능성, 복구 시간, 서비스 가용성 등을 고려해 발빠르게 대처해야 한다”고 말했다.

모의해킹 및 취약점 분석 전문가인 김관영 책임은 “CVE-2023-6548 취약점은 관리 인터페이스에서 로그인 권한이 필요한 취약점으로 디폴트 계정과 유추하기 쉬운 계정 사용 시 위험에 처할 수 있다”며 “CVE-2023-6549 취약점은 특별한 서버 구성 시 발생할 수 있는 서비스 거부 취약점으로 사용성을 해할 수 있는 취약점”이라고 설명했다.

이어 김관영 책임은 “취약점이 해결된 버전으로 업데이트하고 관리 인터페이스를 인터넷에 노출하지 않도록 제거하고 보안장비 모니터링 및 패턴 업데이트를 통해 위험을 최소화해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>