시트릭스 제품군에서 나온 취약점, CVE-2019-19781...치명적 위험도 가지고 있어
기존 패치 스케줄을 1주일 앞당긴 시트릭스...고객사들도 서둘렀는지 벌써 80%가 패치해

[보안뉴스 문가용 기자] 시트릭스(Citrix)의 애플리케이션 배포 제어장치(Application Delivery Controller, ADC)와 게이트웨이(Gateway)에서 발견된 치명적 취약점인 CVE-2019-19781에 대한 패치가 빠르게 이뤄지고 있다는 소식이다. 취약점 영향을 받는 것으로 알려진 조직들의 80%가 조치를 취했다고 한다.


CVE-2019-19781은 2019년 12월에 처음 공개되고, 그 직후부터 실제 공격에 악용되기 시작한 취약점으로, 158개국 8만여 개 기업들이 영향을 받고 있는 것으로 알려져 있다. 익스플로잇이 쉽고 결과가 치명적일 수 있어 시트릭스는 당초 예고했던 것보다 패치 개발 일정을 서둘렀고, 지금은 모든 패치가 다 나온 상태다.

이 취약점을 제일 먼저 분석한 보안 업체 포지티브 테크놀로지스(Positive Technologies)는 최초 분석이 한 달 반이 지난 시점에서 다시 한 번 버그 현황 평가에 들어갔다. 그리고 약 20%가 취약점을 패치하지 않고 있다고 발표했다. 뒤집어 말하면 80%가 패치를 했다는 건데, 포지티브 측은 “나쁘지 않은 결과이지만, 남은 20%가 숫자로 따지면 1만 5천 개 기업”이라며 “더 속도감 있게 진행되어야 한다”고 강조했다.

현재 시점에서 취약한 장비가 가장 많은 나라는 브라질이다. 아직 패치하지 않은 기업의 43%가 브라질에 있는 것으로 나타났다. 그 다음은 중국(39%), 러시아(35%), 프랑스(34%), 이탈리아(33%), 스페인(25%) 순서다. 그 다음은 미국(21%), 영국(21%), 호주(21%)가 동률을 이루었다.

시트릭스 제품에서 나온 취약점을 익스플로잇 할 경우 공격자들은 기업의 로컬 네트워크에 직접 접속할 수 있게 된다. 이 때 크리덴셜이 필요한 것도 아니라 공격자들 입장에서는 익스플로잇이 꽤나 수월한 것으로 알려져 있다.

시트릭스는 패치만이 아니라 위험 완화 방법들도 여러 가지를 소개했다. 패치를 즉각 적용하면 좋지만 여러 가지 상황으로 그렇게 할 수 없는 조직들이 많다는 걸 이해하고 있기 때문이다. 포지티브 측도 “시트릭스 제품을 사용하고 있다면 최근 패치를 적용하거나, 함께 공개된 위험 완화 방법을 활용하는 것이 좋다”고 권고했다.

“원래 시트릭스는 1월 27~1월 31일 사이에 패치를 발표하기로 했었습니다. 하지만 사태가 심각해지자 1주일을 앞당겼죠. 패치 개발을 스스로 앞당겼다는 건, 사태가 정말로 심각했다는 것이므로 사용자들은 이를 서둘러 적용하는 것이 좋습니다. 현재 해커들이 이 취약점을 실제 익스플로잇 하고 있다는 걸 염두에 두어야 합니다.” 포지티브 테크놀로지스 측의 설명이다.

CVE-2019-19781 취약점의 영향권 아래 있는 줄을 모르기 때문에 패치를 하지 않는 기업을 위해 시트릭스는 탐지 도구를 개발해 무료로 공개하기도 했다. 혹시나 하는 생각이 드는 보안 담당자라면 해당 도구(https://github.com/citrix/ioc-scanner-CVE-2019-19781)를 가지고 확인을 해보는 것이 안전할 것으로 보인다.

3줄 요약
1. 작년 말부터 큰 이슈가 된 시트릭스 도구 취약점.
2. 익스플로잇 난이도 높지 않고 결과는 치명적이라 시트릭스도 패치 개발 서둘렀음.
3. 이제는 고객사들이 패치 적용에 서두를 차례. 실제 80%가 패치 완료한 상태.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>