해커들이라고 아무거나 다 집적대고 건드리는 건 아니다. 효율이 좋은 것을 찾는 습성 때문에 이들도 좋아하는 게 있고 덜 선호하는 게 있다. 그 중 시트릭스와 VM웨어의 제품들은 꽤나 선호도가 높다고 볼 수 있다. 그런 제품들에서 초고위험도 취약점이 나왔다.

[보안뉴스 문가용 기자] 시트릭스(Citrix)와 VM웨어(VMware)의 제품들 일부에서 인증 시스템을 우회하는 초고위험도 취약점이 발견돼 원격 근무자들을 위협하고 있다고 양사가 공개했다. 해당 취약점들에 대한 패치가 시급하다며 미국의 사이버 보안 전담 기관인 CISA까지 나서 경고했다.

​

[이미지 = utoimage]

시트릭스 게이트웨이 : 기업 감염시키기에 최적화 된 요소

먼저 시트릭스의 제품에서 나온 취약점은 CVE-2022-27510으로, CVSS 기준 9.8점을 받았다. 익스플로잇에 성공할 경우 공격자는 시트릭스 게이트웨이(Citrix Gateway)에 접근할 수 있게 된다. 이 때 시트릭스 게이트웨이가 SSL VPN 솔루션으로서 활용되고 있어야 한다. 조건에 부합할 때 익스플로잇에까지 성공하면 조직 내부 애플리케이션들에까지도 접근하는 게 가능해진다. 최초 침투만이 아니라 그 후 기업 내부로까지 깊이 들어가게 해 주는 아주 유용한 취약점이라는 것이다.

시트릭스 ADC라는 제품에서도 문제가 발견됐다. 시트릭스 ADC(Application Delivery Controller)라고 하는 이 제품은 여러 클라우드 인스턴스들에 존재하는 애플리케이션들에 대한 관리자급 가시성을 확보해 주는 것으로, 여기서는 CVE-2022-27513이라는 8.3점짜리 취약점과 CVE-2022-27516이라는 5.3점짜리 취약점이 발견됐다.

보안 업체 테너블(Tenable)의 연구원 사트남 나랑(Satnam Narang)은 “시트릭스 게이트웨이와 ADC는 공격자들이 선호하는 공격 표적”이라고 설명한다. “지난 몇 년 동안 공격자들은 이 두 가지 제품에서 발견된 초고위험도 취약점인 CVE-2019-19781을 반복적으로 익스플로잇 해 왔고, 이를 통해 시트릭스 제품들을 통해 얻어갈 수 있는 게 많다는 걸 체험한 바 있습니다.”

나랑의 설명에 의하면 CVE-2019-19781은 이미 중국과 이란의 정부와 관련이 있는 APT 단체들까지도 활용해 왔다고 한다. “게다가 요 몇 년간 가장 큰 세력을 과시하고 있는 랜섬웨어 공격자들 역시 이 취약점을 적극적으로 공략하고 있습니다. 이미 시트릭스의 게이트웨이와 ADC가 얼마나 좋은지 잘 알고도 남습니다.” 게이트웨이의 경우 13.1-33.47과 13.0-88.12, 12.1-65.21 버전으로 업데이트 하는 게 안전하다.

VM웨어 워크스페이스 원 어시스트

VM웨어에서는 세 가지 초고위험도 취약점이 발견됐는데, 전부 워크스페이스 원 어시스트(Workspace ONE Assist for Windows)에서 발견됐다. CVE-2022-31685, CVE-2022-31686, CVE-2022-31687이며, 로컬과 원격의 공격자가 관리자 권한을 갖게 해 준다.

워크스페이스 원 어시스트는 원격 데스크톱 제품으로 IT와 관련된 기술적인 문제들을 원격에서 해결해야 할 때 주로 사용된다. 직원들을 위한 원격 기술 지원 서비스라는 것이다. 그렇기 때문에 태생적으로 높은 권한을 필요로 하며, 따라서 이 기능을 중간에서 차지하게 된 공격자들은 높은 권한을 갖게 된다. 

이 세 개의 초고위험도 취약점 외에 다른 취약점들도 이번에 같이 패치됐다.

1) CVE-2022-31688(6.4점) : XSS 취약점

2) CVE-2022-31689(4.2점) : 인증 토큰 관련 취약점

업데이트 된 버전은 워크스페이스 원 어시스트 22.10 버전이다.

3줄 요약

1. 시트릭스의 게이트웨이 제품에서 초고위험도 취약점 발견됐으니 신속한 패치 필요.

2. VM웨어 워크스페이스 원 어시스트에서도 초고위험도 취약점 발견됐으니 패치 필요.

3. 두 제품 모두 사이버 공격자들이 익스플로잇 하기 즐겨함.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=111478&page=2&mkind=1&kind=1)]​