“장치 절반 이상 패치 안 돼”… 넷스케일러 ADC 취약점 악용 사례 보고

미 보안 당국 및 민간 보안 업체가 최근 발표한 연구에 따르면, 넷스케일러(NetScaler) ADC 장치의 절반 이상이 아직 취약점 패치를 적용하지 않은 것으로 나타났다.
 

미국 사이버 보안 및 인프라 보안국(CISA)은 넷스케일러 ADC와 넷스케일러 게이트웨이에서 실행되는 주요 원격 코드 실행(RCE)의 취약점을 공격자들이 적극적으로 악용하고 있다고 지난주 발표했다. 연구진에 따르면 해당 취약점은 7월 초 이미 패치가 지원된 상태이지만 유사 취약점이 여러 개 있으며, 인터넷에 연결된 장치의 50% 이상이 여전히 취약한 상태인 것으로 보인다.

CISA 연구와 별개로 보안 회사 비숍폭스(Bishopfox) 연구진은 21일 공개한 보고서에서 “시트릭스(Citrix)가 공개한 소프트웨어 이미지를 검사한 결과, 패치된 ADC 릴리스가 2023년 7월에 패키징된 것을 알 수 있었다”라고 밝혔다. 연구진은 “쇼단(취약점 파악을 위해 인터넷에 연결된 장비 정보를 보여주는 검색엔진)을 이용해 HTTP 응답 헤더의 최신 값(Last-Modified)을 분석하면 패치가 적용된 장치 정보를 찾을 수 있다”라며 “분석 결과 인터넷에 노출된 시트릭스 ADC 장치의 53%(3만 2,000개)에 패치가 적용되지 않은 것으로 나타났다. 35%(2만 1,000개)는 패치가 적용되지 않아 취약한 경로에 노출된 상태”라고 전했다.

여러 원격 코드 실행 취약점
시트릭스는 지난 18일 넷스케일러 ADC와 넷스케일러 게이트웨이의 취약성 3가지에 대해 패치를 배포했다. 특히  'CVE-2023-3519’는 심각한 취약점으로 분류됐으며 CVSS(공통 취약점 평가 시스템) 기준 10점 만점에 9.8점의 심각도 점수를 기록했다. CVE-2023-3519는 장치가 게이트웨이(VPN 가상 서버, ICA 프록시, CVPN, RDP 프록시) 또는 AAA 가상 서버로 구성된 경우 인증되지 않은 원격 코드의 실행을 허용한다.

한편 시트릭스는 2005년 넷스케일러를 인수했다. 이후 제품군 명칭을 넷스케일러 애플리케이션 딜리버리 컨트롤러(ADC)에서 시트릭스 ADC로 변경했다. 지난해 시트릭스는 넷스케일러의 브랜드를 되살리기로 결정하고, 다시 브랜드명을 넷스케일러 ADC로 바꿨다.

패치가 발표된 뒤 보안 회사 래피드7과 애셋노트 연구진은 각각 패치를 분석해 CVE-2023-3519의 근본 원인을 파악했다. 두 회사는 취약점 공격이 성공하려면 SAML이 활성화돼야 한다며, 이번 취약점은 SAML 파서(parser)의 메모리 손상으로 인해 발생했다고 주장했다.

이는 시트릭스 권고문에서는 제시되지 않은 내용이었다. 시트릭스 측은 권고문에서 SAML을 언급하지 않았다. 이에 비숍폭스 연구진은 자체 조사를 실시했고, 시트릭스 권고문 내용과 더 밀접하게 일치하는 버그를 발견했다. 

비숍폭스 연구진은 다음과 같이 말했다. “우리가 확인한 취약점은 장치를 게이트웨이 또는 AAA 가상 서버로 구성하고, 일부 설비에서 기본적으로 활성화된 것으로 보이는(일부 설비에서는 기본적으로 활성화되지 않았을 수 있다. 차이가 있는 이유는 아직 확인되지 않았다) 특정 취약 경로를 노출시킬 때 나타난다. SAML을 요구하지 않는다는 점을 고려할 때 이 스택 오버플로가 CVE-2023-3519인 것으로 보이며, SAML 파서 버그는 추가 권고 없이 조용히 패치된 별도 취약점으로 파악된다.”

에셋노트 연구진도 추가 조사를 진행했다. 연구진은 원격 코드 실행에 2개의 결함이 있다고 분석했다. 에셋노트에 따르면 하나는 SAML을 필요로 하지 않는 결함이고(CVE-2023-3519일 가능성이 높다), 다른 하나는 처음에 발견된 SAML 종속 결함이다.

CVE-2023-3519는 제로데이 취약점이었다
CISA가 지난 20일 발표한 권고문에 따르면, 공격자들은 지난 6월부터 CVE-2023-3519 결함을 악용해 기기에 웹 셸을 배포해 왔다. 즉, 이 취약점은 패치가 적용되지 않은 채 한 달가량 제로데이 상태로 공개돼 있었다.

CISA에 따르면 이 공격은 주요 인프라 조직의 넷스케일러 장치에서 탐지됐다. 공격자는 피해자의 액티브 디렉터리(AD) 환경을 스캔하고 데이터를 유출하기 위해 웹 기반 백도어 스크립트인 웹 셸을 사용했다.

이후 공격자는 네트워크의 도메인 컨트롤러로 측면 이동을 시도했고, 네트워크 세분화 정책에 의해 차단됐다. 공격자들은 또한 SMB 트래픽을 표적 도메인 컨트롤러로 프록시하기 위해 프록시 기능을 갖춘 두 번째 PHP 기반 웹 셸을 배포했다.

CISA는 “공격자들은 권한 구성 파일(/etc/auth.conf)을 삭제했다. 이는 설정된 사용자(관리자 등)가 원격으로 접속하지 못하도록 막기 위한 것으로 보인다. ADC 장치에 다시 액세스하려면 일반적으로 조직은 단일 사용자 모드로 재부팅해 장치에서 아티팩트를 삭제해야 한다. 하지만 피해자의 경우 재부팅하지 않고 장치에 접속할 수 있는 SSH 키를 쉽게 사용할 수 있었다”라고 설명했다. 

비숍폭스는 문제 해결을 위해 그레이노이즈(GreyNoise) 인텔리전스 서비스와 협력했다. 그레이노이즈는 자동화된 익스플로잇 시도를 추적하기 위해 센서 네트워크를 관리하는 솔루션 회사다. 지난 21일 탐지 기능을 추가한 이후 취약점 공격 시도는 관찰되지 않았다. 그렇다고 지난 6월 발생한 표적 공격이 완전히 사라졌다고는 할 수 없다. 취약점에 대한 세부 정보가 공개됐기 때문에, 또 다른 공격자가 익스플로잇을 개발하면 공격 횟수가 더 늘어날 수도 있다. 인터넷에 노출된 넷스케일러 ADC 장치의 53%가 아직 패치를 적용하지 않았다는 점은 우려할 만하다.

비숍폭스 측은 “고객이 가장 중요하게 여기는 자산, 특히 악용 가능한 취약점이 있는 자산을 제때 패치하기를 바란다”라고 말했다. 또 “시트릭스 ADC 설비를 보유한 경우, 이 문제에 대해 시트릭스의 권고를 따르고 즉시 펌웨어를 업그레이드해야 한다”라고 진단했다. ciokr@idg.co.kr