2022년도 후반에 Citrix ADC 와 Citrix Gateway 장비에서 두 가지 치명적인 취약점인 CVE-2022-27510, CVE-2022-27518 가 보고되었다. 이 두 Citrix 취약점은 CVSS 스코어가 모두 9.8점 Critical 이 나올 정도로 강력한 취약점이며, 실제 해킹 공격에도 많이 악용되고 있다는 사례가 지금도 계속 보고되고 있다.  

해당 보안 취약점을 가지고 있는 Citrix ADC 와 Gateway가 아직도 인터넷에는 다수 방치되어 있다. 물론 Citrix 의 HTTP 배너에는 정확한 버전명을 표기하지 않고 있기 때문에 CVE-2022-27510, CVE-2022-27518 취약점을 보유하고 있는 케이스를 정확히 캐치할 수는 없다는 의견도 있지만, 그것은 정확한 이야기가 아니다. 약간의 OSINT 기술을 이용하면 Citrix ADC / Gateway 의 버전 정보를 정확히 알아낼 수 있고, 공격자들은 알아낸 버전정보를 이용하여 인터넷에 방치되어 있는 Citrix ADC / Gateway 의 서버에 불법적으로 침투할 수 있다. 

지속적으로 악용되는 CVE-2022-27510, CVE-2022-27518

우선 몇달 전 보고된 Citrix ADC / Gateway 의 두 가지 취약점인 CVE-2022-27510, CVE-2022-27518 에 대해서 알아보고자 한다.

  • CVE-2022-27510 : 게이트웨이 사용자 기능에 대한 무단 액세스(Unauthorized access to Gateway user capabilities)
  • CVE-2022-27518  : 인증되지 않은 원격 임의 코드 실행

2022년 11월 8일에 Citrix가 발표한 CVE-2022-27510 취약점 설명에 의하면, 이것은 Citrix ADC (구 NetScaler) 및 Citrix Gateway에 영향을 미치는 인증 우회 취약점이며, 로그인을 우회하여 Citrix 에 침투할 수 있는 문제를 가지고 있다고 한다. 또한 사이버 보험 기업 앳-베이(At-Bay)의 사이버 연구팀은 2023년인 올해 첫 주 로얄 랜섬웨어 그룹이 이를 적극적으로 악용하고 있는 정황을 포착했다고 전하기까지 했다. 

또한, CVE-2022-27518 에 관해서는 2022년 12월 13일, NSA (National Security Agency)가 해킹공격 그룹인 APT5가 이 취약점을 이용하여 Citrix ADC 서버를 적극적으로 악용하고 있다고 보안 공지를 발표할 정도로 심각한 문제로 알려져 있다. 

인터넷에 방치된 채 노출된 Citrix ADC / Gateway

이처럼 악명 높은 해커가 악용하고 있다는 이야기가 공식적으로 나올 정도로 심각한 상황이다. Criminal IP 로 해당 취약점을 분석해 본 결과, 현재도 수만 대 이상의 Citrix ADC / Gateway 시스템이 인터넷에 방치된 채 노출되어 있으며, 그 중에서 이 취약점을 가진 머신만 수천 대 이상인 것으로 확인된다.

Search Query: Title:”Citrix Gateway”

Citrix Gateway 가 노출된 채 방치되어 있는 국가 통계
Citrix Gateway 가 노출된 채 방치되어 있는 국가 통계

보다 자세한 내용은 Criminal IP 에서 확인할 수 있다. 일단 단순히 인터넷에 방치된 Citrix ADC 및 Gateway 서버의 어플라이언스 장비를 찾는 것은 Criminal IP 의 HTML Title 필터만으로도 바로 확인이 가능하다. 

Search Query: Title:”Citrix Gateway”

Criminal IP Asset Search 에 Title: "Citrix Gateway"로 검색한 결과, 인터넷에 방치된 Citrix ADC 및 Gateway 서버의 어플라이언스 장비를 찾을 수 있다
Criminal IP Asset Search 에 Title: “Citrix Gateway”로 검색한 결과, 인터넷에 방치된 Citrix ADC 및 Gateway 서버의 어플라이언스 장비를 찾을 수 있다

OSINT를 통한 Citrix 취약점 보유 버전 확인

그러나 앞서 이야기한대로, 이 HTTP 배너에서는 버전 정보까지 노출되지는 않기 때문에, CVE-2022-27510, CVE-2022-27518 문제를 갖고 있는 Citrix ADC / Gateway 시스템을 찾는 것은 쉽지 않다. 하지만 OSINT 기법을 이용하면 장비의 버전을 알아낼 수 있는 방법이 있다. 인터넷에서 쉽게 찾을 수 있는 정보로, Citrix ADC / Gateway 시스템은 어떠한 해시(hash) 값을 가지고 있는데 이 값은 버전마다 고유하기 때문에 해시값을 비교해 본다면 이 시스템의 버전명을 알 수 있게 된다. 예를 들어 아래 깃허브의 스크린 샷을 보면 26df0e65fba681faaeb333058a8b28bf 에 해당하는 해시값은 버전이 12.1-50.28 임을 알 수 있다. 

버전마다 고유한 해시값을 통해 Citrix ADC / Gateway 시스템의 버전 정보를 알 수 있다
버전마다 고유한 해시값을 통해 Citrix ADC / Gateway 시스템의 버전 정보를 알 수 있다

그리고 Criminal IP 에서 title:”Citrix Gateway” 로 검색 후, 결과 값 가운데 랜덤으로 배너 정보를 확인해 보았다.  아래 스크린샷과 같이 HTML body 내에 해시값이 표기되어 있고, 화면에 보이는 2b46554c087d2d5516559e9b8bc1875d 라는 해시값은 13.0-84.11 버전이라는 것을 알 수 있다. 즉 이 IP주소에 가동되고 있는 Citrix Gateway 의 버전은 13.0-84.11 이다. 

Criminal IP의 배너 검색 결과의 해시값을 통해 Citrix Gateway 의 버전 정보를 확인할 수 있다
Criminal IP의 배너 검색 결과의 해시값을 통해 Citrix Gateway 의 버전 정보를 확인할 수 있다

조금 더 깔끔하게 분류된 에디터를 통해 살펴보면 HTML 코드에 아래와 같이 해시값이 구성되어 있다는 것을 쉽게 확인할 수 있다. 여기 매개변수를 보면 ‘?v=6e7b2de88609868eeda0b1baf1d34a7e’ 해시값이 URL에 추가되어 있다.

HTML 코드에 표기되어 있는 해시값, Citrix ADC / Gateway 의 버전 정보를 확인할 수 있다
HTML 코드에 표기되어 있는 해시값, Citrix ADC / Gateway 의 버전 정보를 확인할 수 있다

이 정보들을 활용하여 CVE-2022-27510, CVE-2022-27518 취약점에 노출되어 있는 Citrix ADC / Gateway 버전 정보를 확인할 수 있었다. 그리고 아래 내용은 버전별로 CVE-2022-27510 또는 CVE-2022-27518 를 몇 가지만 샘플로 매핑해 본 표이다. 

취약한 Citrix ADC / Gateway 버전

  • 12.1-65.21 (CVE-2022-27518 취약점 존재)
  • 12.1-63.22 (CVE-2022-27510 & CVE-2022-27518 취약점 존재)
  • 13.0-58.32 (CVE-2022-27510 취약점 존재)
  • 12.1-57.18 (CVE-2022-27510 & CVE-2022-27518 취약점 존재)
  • 13.0-47.24 (CVE-2022-27510 & CVE-2022-27518 취약점 존재)
  • 12.1-63.23 (CVE-2022-27510 & CVE-2022-27518 취약점 존재)
  • 12.1-55.18 (CVE-2022-27510 & CVE-2022-27518 취약점 존재)
  • 12.1-65.15 (CVE-2022-27510 & CVE-2022-27518 취약점 존재)
  • 13.0-83.27 (CVE-2022-27510 취약점 존재)
  • 13.0-83.29 (CVE-2022-27510 취약점 존재)
  • 12.1-62.27 (CVE-2022-27510 취약점 존재)
  • 13.0-87.9 (CVE-2022-27510 취약점 존재)
  • 13.0-52.24 (CVE-2022-27510 & CVE-2022-27518 취약점 존재)
  • 13.0-71.44 (CVE-2022-27510 취약점 존재)

Hash 값으로 취약한 Citrix 버전 확인

이런 방법을 응용하면 Citrix ADC / Gateway 가 가진 심각한 보안 취약점인 CVE-2022-27510 과 CVE-2022-27518 를 보유하고 있는 시스템을 정확히 판별할 수 있다. 그럼 이제부터는 그 해시값을 바로 이용하여 검색할 수도 있다. 예를 들어서 취약한 버전 (12.1-65.21) 만 확인하고자 한다면 이 버전에 해당하는 해시값을 그대로 검색에 이용하면 된다. 

Search Query: “Citrix Gateway” “c1b64cea1b80e973580a73b787828daf” country: KR

취약한 버전의 해시값을 이용한 검색 쿼리, 취약한 버전을 사용하는 IP 주소를 검색할 수 있다
취약한 버전의 해시값을 이용한 검색 쿼리, 취약한 버전을 사용하는 IP 주소를 검색할 수 있다

무단 액세스, 임의 코드 실행까지 가능한 심각한 취약점이 발견되었는데, 정작 어떤 버전을 사용하고 있는지 몰라 보안 위협에 대응하지 못할 수는 없다. Citrix의 버전 정보가 공개되어 있지 않았다고 해도, OSINT 정보를 통해 알아낸 특정 버전의 해시값을 검색해 보면, Citrix 취약점을 보유한 IT 자산을 식별해 낼 수 있다. 작년 CVE 공표 후, 악용사례가 지속적으로 보고되고 있고, 생각보다 많은 버전이 CVE-2022-27510, CVE-2022-27518 취약점에 노출되어 있어 빠른 보안 대응이 필요하다. 

관련하여 포티넷 인증 우회 취약점 CVE-2022-40684의 보안 점검 중요성에 대해 다룬 글을 참고해도 좋다.

데이터 출처 : Criminal IP (https://www.criminalip.io/ko)

관련 글 :

CVE-2022-40684: 즉시 점검해야 하는 Fortinet 인증우회 취약점