시트릭스, 자사 제품에서 발견된 취약점에 대한 최종 패치 발표

CVE-2019-19781, 여러 해커들이 암호화폐 채굴과 랜섬웨어 공격 위해 악용
취약한 시스템 노리는 행위 증가 중...시트릭스 측은 서둘러 마지막 패치까지 완료해

[보안뉴스 문가용 기자] 시트릭스(Citrix)가 최근 공개된 취약점인 CVE-2019-19781에 대한 나머지 패치들을 전부 배포하기 시작했다. 하지만 해당 취약점을 노린 공격은 점점 더 빈도가 높아지는 중이라고 한다.

[이미지 = iclickart]

문제의 취약점이 발견된 곳은 시트릭스의 애플리케이션 딜리버리 제어기(Application Delivery Controller, ADC)와 게이트웨이(Gateway) 제품군이었다. 이전에는 넷스케일러 ADC(NetScaler ADC)와 넷스케일러 게이트웨이(NetScaler Gateway)로 알려진 제품들이다. 취약점이 공개된 건 2019년 12월로, 패치보다 개념증명용 코드가 먼저 발표됐고, 이후 실제 공격이 시작됐다.

취약점의 영향을 받는 건 ADC와 게이트웨이 10.5, 11.1, 12.0, 12.1, 13.0 버전과 SD-WAN WANOP 10.2.6, 11.0.3 버전인 것으로 알려져 있다. 시트릭스는 1월 19일부터 패치를 부분적으로 완성해 배포하기 시작했고, 지난 주 금요일 최종 패치를 발표했다. 가장 마지막에 발표된 건 ADC와 게이트웨이 10.5 버전에 적용될 것이었다.

시트릭스의 CISO인 퍼민 서나(Fermin J. Serna)는 “시트릭스의 ADC와 게이트웨이 11.1, 12.0, 12.1, 13.0, SD-WAN 4000-WO, 5000-WO, 4100-WO, 5100-WO에 대한 패치를 전부 완료했으며, 시트릭스 제품을 사용하는 모든 고객들에게 적용될 수 있도록 했다”고 발표했다.

그렇다고 시트릭스 사태가 종료된 것은 아니다. 이 패치를 고객사들에서 적용해야 한다는 문제가 남아있기 때문이다. 실제 공격자들은 패치 적용이 느리게 될 거라는 걸 알고 있다는 듯이 거세게 몰아붙이고 있는 상황이다.

보안 업체 파이어아이(FireEye)에 의하면 CVE-2019-19781을 표적으로 하는 사이버 공격 행위가 최근 증가하고 있다고 한다. 대부분은 암호화폐 채굴 코드를 심기 위한 것이지만, 랜섬웨어를 활용하려는 시도도 최근 눈에 띄기 시작했다.

“공격자들은 셸 스크립트를 활용해 파이선2(python2) 바이너리가 표적 시스템에 설치되어 있는지부터 확인합니다. 시트릭스 게이트웨이 12.x와 13.x 버전의 시스템을 노린다는 뜻이 됩니다. 또한 같은 셸 스크립트를 가지고 두 개의 파일을 추가로 다운로드 하기도 합니다.”

이 파일은 추가 정찰 행위를 수행하는 코드를 가지고 있으며, 라그나로크(Ragnarok)라는 랜섬웨어를 다운로드 받아 심기도 한다. 이 파일은 1월 17일에 최초로 발견됐다.

“공격자들은 취약한 시스템들을 악용하고, 네트워크에서 횡적으로 움직이기 위해 다양한 익스플로잇을 시도합니다. 공격자들이 구상하는 건, 게이트웨이를 중심으로 해서 네트워크의 다른 요소들에까지 진출하는 겁니다.” 파이어아이의 설명이다. “이런 시도는 굉장히 많은 부분에서 일어나고 있으며, 현재도 계속해서 증가 중입니다.”

그래서 파이어아이는 “여러 가지 방법으로 시트릭스 제품의 취약점에 대응해 온 기업들이 많은 것으로 알고 있지만, 최근 완료된 패치들을 적용하는 것이 가장 안전하다”고 권고하고 있다.

3줄 요약
1. 드디어 시트릭스 제품에서 발견된 취약점에 대한 최종 패치 발표됨.
2. 현재 암호화폐 채굴 코드와 랜섬웨어 심기 위한 공격 행위가 증가 중임.
3. 위험 완화 위한 여러 가지 방법 있겠으나, 최종 패치 적용하는 것이 최고.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)