최근 사이버 보안 전문가들이 ’시트릭스(Citrix) 버추얼 앱스 앤 데스크탑스(Citrix Virtual Apps and Desktops)’의 새로운 보안 취약점을 공개했다. 이번 취약점은 세션 기록 구성 요소에서 발생하며, 이를 악용하면 비인증 원격 코드 실행(RCE)이 가능할 수 있다고 보안업체 워치타워가 밝혔다.
‘시트릭스(Citrix) 버추얼 앱스 앤 데스크탑스’의 세션 기록 기능은 사용자 활동을 키보드, 마우스 입력과 함께 비디오 스트림으로 기록해 감사, 준수, 문제 해결 용도로 활용할 수 있게 한다. 이번에 발견된 취약점은 잘못 구성된 ‘마이크로소프트 메세지 큐잉(MSMQ)’ 인스턴스와 이진 포매터(BinaryFormatter) 역직렬화 클래스의 사용에서 비롯된 것으로, 이를 통해 공격자는 HTTP를 통해 원격지에서 비인증 RCE를 수행할 수 있는 취약점이 발생할 수 있다.
워치타워 연구원 시나 케어카(Sina Kheirkhah)는 노출된 MSMQ 인스턴스와 잘못된 권한 설정, 이진 포매터(BinaryFormatter)를 통한 역직렬화가 결합되면서 HTTP를 통해 어느 호스트에서든 접근할 수 있는 구조가 비인증 RCE를 가능하게 만든다고 설명했다.
취약점 세부 정보는 다음과 같다.
-CVE-2024-8068: 네트워크 서비스(NetworkService) 계정으로 권한 상승을 허용하는 취약점으로 CVSS 점수는 5.1이다.
-CVE-2024-8069: 네트워크 서비스(NetworkService) 계정 권한으로 제한된 원격 코드 실행이 가능한 취약점으로 CVSS 점수는 5.1이다.
시트릭스(Citrix)는 이번 취약점을 인정하며, 성공적인 악용을 위해서는 공격자가 동일 세션 기록 서버 도메인의 윈도우즈 액티브 디렉토리(Windows Active Directory) 도메인 내에 있어야 하고 동일 인트라넷에 속한 인증된 사용자여야 한다고 설명했다. 회사는 다음 버전에서 해당 문제를 해결하는 패치를 배포했다.
-시트릭스 버추얼 앱스 앤 데스크탑스(Citrix Virtual Apps and Desktops) 버전 2407 핫픽스 24.5.200.8 이전
-시트릭스 버추얼 앱스 앤 데스크탑스(Citrix Virtual Apps and Desktops) 1912 LTSR 버전 CU9 핫픽스 19.12.9100.6 이전
-시트릭스 버추얼 앱스 앤 데스크탑스(Citrix Virtual Apps and Desktops) 2203 LTSR 버전 CU5 핫픽스 22.03.5100.11 이전
-시트릭스 버추얼 앱스 앤 데스크탑스(Citrix Virtual Apps and Desktops) 2402 LTSR 버전 CU1 핫픽스 24.02.1200.16 이전
시트릭스(Citrix)는 사용자들에게 이러한 업데이트를 신속하게 적용할 것을 권장했다.
이번 취약점은 이진 포매터(BinaryFormatter) 사용의 위험성을 다시금 부각시켰다. 마이크로소프트(Microsoft)는 이전에 이진 포매터(BinaryFormatter) 사용 중단을 권고했으며, 이러한 역직렬화 취약점에 대한 경고를 지속적으로 발표해 왔다. 2024년 8월 .NET 9 버전부터 이진 포매터(BinaryFormatter)는 완전히 제거되었으며, 이는 보안성이 강화된 직렬화 방식으로의 전환을 반영한 조치이다.
사이버 보안 커뮤니티는 이번 취약점의 잠재적 위험성에 대해 우려를 표명했다. 섀도서버 파운데이션(Shadowserver Foundation)은 이번 취약점과 관련한 잠재적 공격 시도가 이미 확인되고 있으며, 사용자들에게 신속히 업데이트를 적용할 것을 촉구했다.
시트릭스(Citrix)는 인증된 사용자가 있어야 공격이 가능하다고 주장하는 반면, 워치타워(watchTowr)는 이 취약점이 심각한 위협으로서 “포인트-클릭-전체 제어” 수준의 공격이 가능하다고 반박했다. 또한, 워치타워(watchTowr)는 취약점의 개념 증명(PoC) 공격 코드를 공개해 해당 취약점에 대한 긴급 대처 필요성을 강조했다.
이번 CVE-2024-8068 및 CVE-2024-8069 취약점의 발견은 ‘시트릭스(Citrix) 버추얼 앱스 앤 데스크탑스’ 사용에 대한 심각한 보안 문제를 유발할 수 있어 각별히 주의해야 한다.
![[단독] 알리·테무 위해제품 차단시스템 '구멍'…171건 유통되다 재차단](https://img.newspim.com/news/2024/11/13/2411131622262640.jpg)
