재미있는 보안 이야기

취약성에 대응하는 패치가 있어도 사이버 공격이 멈추지 않는 이유


취약성에 대응한 패치가 있어도 공격이 계속되는 경우가 있습니다. 왜 이런 현상이 벌어지는 걸까요?
소프트웨어에 취약성이 발견된 경우 어떻게 행동하는 것이 가장 좋은 것일지 참고가 되는 사례를 소개합니다.


📍Citirx Systems의 사례 

Citrix는 보안 취약점인 CVE-2023-4966 및 CVE-2023-967로 명시된 것으로 10월 10일에 Netscaler ADC 및 Netscaler Gateway용 보안 공지를 발표했습니다.보안 연구원들에 따르면, 이 기술은 응용 프로그램의 빠른 실행과 안전한 원격 액세스를 돕기 위해 로드 밸런싱에 사용됩니다. 위협 그룹들은 약 두 달 동안 CVE-2023-4966을 널리 악용했으며, 패치가 이루어진 경우에도 그렇습니다. Mandiant 및 다른 위협 연구원들은 이전 사용자 세션이 삭제되지 않은 경우에 위협 행위자가 기존 패치를 우회할 수 있다고 경고했습니다. 


🔗보안 패치의 효과는 있었을까요?

10월 10일에 패치가 발표된 후에도 CitrixBleed의 악용은 수 주간 높아졌습니다. Citrix는 10월 23일 블로그 게시물에서 세션 하이재킹을 확인하고 취약점을 악용한 대상 지정 공격에 대한 "신뢰할 수 있는 보고서"를 받았다고 밝혔습니다. Citrix는 10월 10일 패치 이전에 어떠한 악용 사례도 인지하지 못했다고 주장했지만, 고객들에게 권장하는 빌드를 설치할 것을 촉구했습니다.


10월 중순에 Mandiant는 패치 배포 이전에 발생한 악용 사례를 경고했는데, 해커들이 인증된 세션을 하이재킹하고 다중 인증을 우회할 수 있었습니다.
세션 데이터는 패치 배포 전에도 도용되었으며 이후에 위협 행위자들에 의해 사용되었습니다. Mandiant Consulting의 CTO인 Charles Carmakal은 "우리는 Netscaler 장치를 업데이트한 기관에서 세션 하이재킹을 관찰했습니다," 라고 이메일을 통하여 보고하였습니다.



Mandiant는 향후 공격을 방지하기 위해 모든 활성화된 또는 지속적인 세션을 종료할 것을 사용자들에게 경고했습니다. 팔로알토 네트웍스의 데이터에 따르면 10월 8일, 패치가 배포되기 두 날 전인 시점에 Gateway/ADC의 잠재적으로 취약한 버전을 사용 중인 시스템은 20,750대였습니다. 이 숫자는 10월 15일까지 7,984대의 패치되지 않은 버전으로 줄었습니다.


Mandiant는 11월 2일 블로그 게시물에 따르면, 10월 10일 이전에는 위협 행위자가 Netscaler 세션을 알려지지 않은 방법으로 가져가고 있던 사례를 조사 중이었다고 밝혔습니다. "2023년 10월에 우리는 침입 사고를 조사 중이었고, 이용 가능한 증거를 기반으로 설명할 수 없는 활동이 있었습니다," Carmakal은 이메일을 통해 말했습니다. "CVE-2023-4966이 공개된 후, 시트릭스가 발표한 정보를 사용하여 CVE-2023-4966의 악용이 초기 접근 벡터임을 확인할 수 있었습니다." 하지만 시트릭스는 내부 팀에서 패치가 개발되었다고 주장하며 반복해서 누구도 이전의 악용 사실을 회사에 알리지 않았다고 말했습니다.


📍CitrixBleed 이름의 유래 

취약성 진화에서 중요한 발전 중 하나는 10월 25일, Assetnote가 연구와 함께 컨셉 증명을 발표한 것입니다. 호주를 기반으로 하는 이 회사는 당시 역사적인 HeartBleed 취약성을 연상시켜 이 취약성을 CitrixBleed로 명명했습니다.

패치된 두 주 된 취약점의 성공적인 악용은 공급업체 보안 관리의 문제와 어려움을 강조합니다. 이에 따르면, 제3자 공급업체 소프트웨어 및 기기는 대부분의 조직에 대한 맹점을 대표하며, 이것이 실제 '그림자 IT(Shadow IT)' 문제라고 Assetnote의 임원들은 말했습니다.

"제3자 공급업체 소프트웨어 및 기기는 대부분의 조직에 대한 맹점을 대표하며, 이것이 실제 '그림자 IT(Shadow IT)' 문제라고 Assetnote의 임원들은 말했습니다."라고 Assetnote의 공동 창업자이자 CEO인 Michael Gianarakis가 이메일로 말했습니다. "이러한 시스템들은 회사 내에서 광범위하게 배포되어 있으며, 이러한 조직이 이러한 시스템이 제공하는 보안 위험에 대해 효과적이고 선제적인 가시성을 얻을 수 있는 경로는 매우 제한적입니다."



🔗Citrix의 영향 

지금까지 CitrixBleed 취약성과 관련된 여러 높은 프로파일의 보안 사건이 발생했습니다. 지난 10월 말, 보잉(Boeing)은 LockBit 위협 그룹으로부터의 랜섬웨어 주장에 대한 공식 조사 일환으로 경찰과 협력하기 시작했습니다. 이 랜섬웨어 그룹은 보잉으로부터 유출된 약 45 기가바이트의 데이터를 보고했습니다.


그러나 보잉만이 영향을 받은 것은 아닙니다. CitirixBleed는 또한 두 개의 금융 서비스 기업에 영향을 미쳤으며, 은행 업무를 방해했습니다. 중국 산업 상업은행의 자회사인 ICBC 금융 서비스는 11월 초에 랜섬웨어 공격을 공개했는데, 이 공격은 위협 연구원인 Kevin Beaumont가 나중에 CitrixBleed와 관련시켰습니다.


Beaumont는 또한 CitrixBleed 취약점을 Trellance Cooperative Holdings의 자회사인 Ongoing Operations에 대한 사이버 공격과 연결시켰는데, 이로 인해 60개 신용 협동조합에서 장애가 발생했습니다. Tenable의 고급 연구 엔지니어인 Satnam Narang은 이 공격들이 특정 회사를 대상으로 한 철저한 사이버 스파이 작전이 아닌, 기회주의적인 랜섬웨어 그룹들에 의한 "돌격과 획득(smash and grab)" 작전이 대부분이라고 말했습니다.



📢 연방 당국의 대응 

11월 14일, 뉴욕 주 금융 서비스부는 모든 규제 기관에게 CitrixBleed를 완화하기 위한 즉각적인 조치를 취하도록 경고했습니다. 이 기관은 11월 초에 규제 기관을 위한 새로 개정된 공개 규정을 시행했는데, 취약성이 랜섬웨어 배포, 데이터 도난 및 업무 방해로 이어질 수 있다고 경고했습니다.

사초전에 CISA, FBI, MS-ISAC 및 호주 신호청(Australian Signals Directorate)은 Lockbit 3.0에 의한 CitrixBleed 악용에 관한 공동 공지를 발표했습니다. 취약점에 대한 완화 지침을 11월 7일에 공개한 CISA는 랜섬웨어 경고 프로그램을 통해 취약한 인스턴스를 실행 중인 약 300개 기관에 경고했습니다.11월 말에 미국 보건 및 인간 서비스부는 건강 관련 기관에게 CitrixBleed의 위험에 대한 경고를 발표했습니다.



📍흐름의 억제

악의적인 공격이 계속되는 한 Netscaler 인스턴스가 패치되지 않고 사용자들이 추가적인 완화 조치를 취하지 않는 한 계속될 가능성을 보안 연구원들이 경고합니다. 특히 활성 세션의 삭제와 같은 추가적인 조치를 취하지 않는다면 계속된 위협이 있을 것으로 전망됩니다.

팔로알토 네트웍스의 데이터에 따르면, 취약한 시스템 수는 811대로 감소하여 패치 이전 수치 대비 96% 감소한 것으로 나타났습니다.
Shadowserver의 데이터에 따르면, 10월 12일의 20,000대 이상에서 취약한 시스템이 1,801대로 줄어든 것으로 나타났습니다.
CISA 관리자들은 제조업체들이 메모리 안전한 언어를 사용하지 않아 CitrixBleed 악용에 기여한 것에 대한 이전 우려를 반복했습니다.





마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니  솔루션과 함께하고 있답니다.



기업의 모든 영역을 보호할 수 있는 보안 솔루션이 필요하시다면 마크애니와 함께 해보세요!







*참고자료
「CitrixBleed isn't going away: Security expers struggle to control critical vulnerability」, Security Dive, 23-12-14 



마크애니 박춘식 고문는 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다.



Social Media Links

솔루션 소개

둘러보기

마크애니

고객지원


(주)마크애니  서울시 중구 퇴계로 286 쌍림빌딩 13층  

(+82) 02-2262-5222ㅣ contact@markany.com  

업자 등록번호 : 101-81-47345

Copyright © 2023. MarkAny. All Rights Reserved.

솔루션 소개

둘러보기

고객지원

Social Media Links

(주)마크애니 ㅣ 서울시 중구 퇴계로 286 쌍림빌딩 13층 ㅣ
(+82) 02-2262-5222 ㅣ contact@markany.com ㅣ
사업자 등록번호 : 101-81-47345

Copyright © 2023. MarkAny. All Rights Reserved.