[ad_1]
보안 팀에 따르면 NetScaler ADC 및 NetScaler Gateway에 영향을 미치는 중요한 정보 공개 버그인 Citrix Bleed는 현재 수천 개의 Citrix NetScaler 인스턴스가 취약한 상태로 남아 있어 “대량 악용” 상태에 있습니다.
10월 30일 현재 Shadowserver는 공용 인터넷에서 5,000개가 넘는 취약한 서버를 발견했습니다. 그리고 지난 주에 GreyNoise는 이 Citrix 취약점을 악용하려는 시도를 하는 137개의 개별 IP 주소를 발견했습니다.
Citrix는 10월 10일에 결함(CVE-2023-4966)에 대한 패치를 공개하고 발표했습니다.
그러나 “패치를 적용하고 재부팅하더라도 세션 토큰이 지속되기 때문에 여전히 문제가 있습니다”라고 정보 보안 감시자 Kevin Beaumont는 말했습니다. 그는 토요일 현재 20,000개가 넘는 악용된 서버를 추적했다고 말했습니다.
후속 메모에서 Citrix는 다른 보안 업체의 완화 조언을 반영하고 고객에게 일련의 명령을 사용하여 모든 활성 세션과 지속적인 세션을 종료하도록 지시했습니다. 그러나 그때쯤에는 범죄자들이 몇 걸음 앞서 있었습니다.
이 취약점을 통해 공격자는 장치의 메모리에 액세스할 수 있으며 해당 RAM에서 범죄자가 추출하여 인증된 사용자를 가장하는 데 사용할 수 있는 세션 토큰을 찾을 수 있습니다. 따라서 구멍을 패치하더라도 추가 조치를 취하지 않는 한 복사된 토큰은 유효한 상태로 유지됩니다.
사람들이 포켓몬처럼 세션 토큰을 수집하는 것 같습니다
이러한 “대량 착취”에는 10월 30일 현재 최소 2개의 랜섬웨어 갱단이 포함되어 있다고 Beaumont는 덧붙였습니다. 이들 팀 중 한 명은 “공격 체인을 자동화하기 위해 파이썬 스크립트를 배포하고 있다”고 그는 말했습니다. “기본적으로 원격 액세스 솔루션에는 1998년 스타일의 취약점이 있습니다. 사람들이 포켓몬처럼 세션 토큰을 수집하는 것으로 보입니다.”
Mandiant는 화요일에 현재 여러 부문에 걸쳐 이 취약점을 악용하는 분류되지 않은 4개의 개별 그룹을 추적하고 있다고 밝혔습니다. 여기에는 주로 이 네 가지 도구를 사용하는 미주, 유럽, 중동, 아프리카 및 아시아 태평양 지역의 법률 및 전문 서비스, 기술 및 정부 기관이 포함됩니다.
- csvde.exe
- certutil.exe
- 로컬.exe
- nbtscan.exe
Google이 소유한 위협 인텔리전스 팀은 블로그에 “전 세계 기업에서 Citrix를 광범위하게 채택하고 있는 점을 고려할 때 영향을 받는 조직의 수가 여러 부문에서 훨씬 더 클 것으로 의심합니다.”라고 썼습니다.
Mandiant는 또한 조직 네트워크 내에서 악용을 확인하는 다양한 방법을 확인했습니다. 그러나 세션 하이재킹과 관련된 의심스러운 활동 패턴은 조직마다 다를 수 있으며 다음에 설명된 기술이 모든 시나리오에 적용되거나 실현 가능하지 않을 수 있다고 경고했습니다.”
Rapid7에 따르면 보안 회사 Assetnote는 지난 주 세션 토큰을 훔치는 데 악용될 수 있는 방법을 보여주는 개념 증명을 포함하여 버그에 대한 기술적 분석을 발표했으며 이로 인해 취약한 엔드포인트 검색이 증가했습니다.
미국 정부의 CISA(사이버보안 및 인프라 보안국)는 지난 수요일 알려진 악용 및 취약점 카탈로그에 CVE-2023-4966을 추가했지만 여전히 “랜섬웨어 캠페인에 사용됨” 열에 이 취약점을 “알 수 없음”으로 나열합니다.
Mandiant는 이전에 범죄자들이 8월 말부터 기업 정보를 훔치기 위해 이 결함을 악용해 왔다고 밝혔습니다.
Mandiant Consulting의 CTO인 Charles Carmakal은 당시 이러한 공격이 사이버 스파이 활동으로 제한되어 있었지만 “시간이 지남에 따라 금전적인 동기를 가진 다른 위협 행위자들이 이를 악용할 것으로 예상합니다”라고 말했습니다. 그리고 때가 된 것 같습니다.
시트릭스는 답변을 거부했습니다. 레지스터랜섬웨어 그룹이 악용하는 버그를 고객이 보고했는지 여부를 포함한 의 질문입니다. ®
