시트릭스와 VM웨어 제품들에서 긴급 패치 필요한 취약점 발견돼

입력 : 2022-11-11 00:25

해커들이라고 아무거나 다 집적대고 건드리는 건 아니다. 효율이 좋은 것을 찾는 습성 때문에 이들도 좋아하는 게 있고 덜 선호하는 게 있다. 그 중 시트릭스와 VM웨어의 제품들은 꽤나 선호도가 높다고 볼 수 있다. 그런 제품들에서 초고위험도 취약점이 나왔다.

[보안뉴스 문가용 기자] 시트릭스(Citrix)와 VM웨어(VMware)의 제품들 일부에서 인증 시스템을 우회하는 초고위험도 취약점이 발견돼 원격 근무자들을 위협하고 있다고 양사가 공개했다. 해당 취약점들에 대한 패치가 시급하다며 미국의 사이버 보안 전담 기관인 CISA까지 나서 경고했다.


시트릭스 게이트웨이 : 기업 감염시키기에 최적화 된 요소
먼저 시트릭스의 제품에서 나온 취약점은 CVE-2022-27510으로, CVSS 기준 9.8점을 받았다. 익스플로잇에 성공할 경우 공격자는 시트릭스 게이트웨이(Citrix Gateway)에 접근할 수 있게 된다. 이 때 시트릭스 게이트웨이가 SSL VPN 솔루션으로서 활용되고 있어야 한다. 조건에 부합할 때 익스플로잇에까지 성공하면 조직 내부 애플리케이션들에까지도 접근하는 게 가능해진다. 최초 침투만이 아니라 그 후 기업 내부로까지 깊이 들어가게 해 주는 아주 유용한 취약점이라는 것이다.

시트릭스 ADC라는 제품에서도 문제가 발견됐다. 시트릭스 ADC(Application Delivery Controller)라고 하는 이 제품은 여러 클라우드 인스턴스들에 존재하는 애플리케이션들에 대한 관리자급 가시성을 확보해 주는 것으로, 여기서는 CVE-2022-27513이라는 8.3점짜리 취약점과 CVE-2022-27516이라는 5.3점짜리 취약점이 발견됐다.

보안 업체 테너블(Tenable)의 연구원 사트남 나랑(Satnam Narang)은 “시트릭스 게이트웨이와 ADC는 공격자들이 선호하는 공격 표적”이라고 설명한다. “지난 몇 년 동안 공격자들은 이 두 가지 제품에서 발견된 초고위험도 취약점인 CVE-2019-19781을 반복적으로 익스플로잇 해 왔고, 이를 통해 시트릭스 제품들을 통해 얻어갈 수 있는 게 많다는 걸 체험한 바 있습니다.”

나랑의 설명에 의하면 CVE-2019-19781은 이미 중국과 이란의 정부와 관련이 있는 APT 단체들까지도 활용해 왔다고 한다. “게다가 요 몇 년간 가장 큰 세력을 과시하고 있는 랜섬웨어 공격자들 역시 이 취약점을 적극적으로 공략하고 있습니다. 이미 시트릭스의 게이트웨이와 ADC가 얼마나 좋은지 잘 알고도 남습니다.” 게이트웨이의 경우 13.1-33.47과 13.0-88.12, 12.1-65.21 버전으로 업데이트 하는 게 안전하다.

VM웨어 워크스페이스 원 어시스트
VM웨어에서는 세 가지 초고위험도 취약점이 발견됐는데, 전부 워크스페이스 원 어시스트(Workspace ONE Assist for Windows)에서 발견됐다. CVE-2022-31685, CVE-2022-31686, CVE-2022-31687이며, 로컬과 원격의 공격자가 관리자 권한을 갖게 해 준다.

워크스페이스 원 어시스트는 원격 데스크톱 제품으로 IT와 관련된 기술적인 문제들을 원격에서 해결해야 할 때 주로 사용된다. 직원들을 위한 원격 기술 지원 서비스라는 것이다. 그렇기 때문에 태생적으로 높은 권한을 필요로 하며, 따라서 이 기능을 중간에서 차지하게 된 공격자들은 높은 권한을 갖게 된다. 

이 세 개의 초고위험도 취약점 외에 다른 취약점들도 이번에 같이 패치됐다.
1) CVE-2022-31688(6.4점) : XSS 취약점
2) CVE-2022-31689(4.2점) : 인증 토큰 관련 취약점
업데이트 된 버전은 워크스페이스 원 어시스트 22.10 버전이다.

3줄 요약
1. 시트릭스의 게이트웨이 제품에서 초고위험도 취약점 발견됐으니 신속한 패치 필요.
2. VM웨어 워크스페이스 원 어시스트에서도 초고위험도 취약점 발견됐으니 패치 필요.
3. 두 제품 모두 사이버 공격자들이 익스플로잇 하기 즐겨함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  SW 공급망 보안 가이드라인 1.0 발표.....

• 3

  코드 서명 절차를 안전하게 유지시키기 위한 ...

• 4

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 5

  독일 사이버 보안시장, 역동적인 투자로 성장...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...