ClickCease 인증되지 않은 원격 코드 실행 결함을 악용하는 APT5

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

인증되지 않은 원격 코드 실행 결함을 악용하는 APT5

2022년 12월 26일 TuxCare 홍보팀

미국 국가 안보국은 중국 국가 지원 그룹이 인증되지 않은 원격 코드 실행 결함(CVE-2022-27518)을 악용하여 Citrix ADC(애플리케이션 딜리버리 컨트롤러) 배포를 손상시키고 있다고 경고했습니다. 미국 국가안보국(NSA)에 따르면 APT5로 알려진 중국 해킹 그룹이 Citrix 애플리케이션 딜리버리 컨트롤러에 대한 기능을 시연했다고 합니다.

NSA와 Citrix에 따르면, 통신 및 기술 회사를 표적으로 삼는 것으로 알려진 중국 국영 위협 공격자인 APT5(UNC2630 및 MANGANESE라고도 함)가 이 취약점을 적극적으로 악용하고 있다고 합니다. APT5는 이전에 Pulse Secure VPN의 취약점을 악용한 적이 있습니다. 익스플로잇의 정확한 세부 사항은 공개되지 않았습니다.

CVE-2022-27518은 SAML(보안 어설션 마크업 언어) SP(서비스 공급자) 또는 SAML IdP(ID 공급자)로 구성된 경우 Citrix ADC 또는 Citrix Gateway에 영향을 미치는 원격 코드 실행(RCE) 취약성입니다. 인증되지 않은 원격 공격자가 이 심각한 취약점을 악용하여 임의의 코드를 실행할 수 있습니다. CVE-2022-27518은 최초 공개 당시 CVSSv3 점수를 받지 못했습니다.

NSA의 권고는 중국의 정보 작전으로 의심되는 기술을 공개하고 향후 공격을 피할 수 있는 방법에 대해 가능한 표적에 조언함으로써 효과적으로 중국 정보 작전을 무력화합니다. 반면에 Citrix는 이 취약점을 통해 인증되지 않은 원격 공격자가 어플라이언스에서 임의의 코드를 실행할 수 있다고 주장합니다. 공격자는 이 취약점을 악용하여 취약한 Citrix ADC 인스턴스를 표적으로 삼고 인증 제어를 우회하여 표적 조직에 액세스할 수 있습니다.

Citrix가 이 취약점을 해결하기 위해 긴급 패치를 발표했음에도 불구하고 "야생에서 완화되지 않은 어플라이언스에서 이 문제를 악용하는 사례가 보고되었다"는 보고가 있었습니다.

또한 인증되지 않은 원격 공격자가 이 결함을 악용하여 취약한 어플라이언스에서 임의의 코드를 실행할 수 있습니다. 이 취약점에 대한 해결 방법은 없으며, 영향을 받는 버전(SAML SP 또는 IdP 구성이 있는 버전)을 실행 중인 고객은 즉시 업데이트해야 한다고 설명합니다.

주요 결함은 CWE-644이며, 이는 Lifecycle 동안 리소스의 부적절한 제어를 의미합니다. 영향을 받는 제품에는 13.0-58.32 이전의 Citrix ADC 및 Citrix Gateway 13.0, 12.1-65.25 이전의 Citrix ADC 및 Citrix Gateway 12.1, 12.1-55.291 이전의 Citrix ADC 12.1-FIPS, 12.1-55.291 이전의 Citrix ADC 12.1-NDcPP가 있습니다.

이 글의 출처는 TheHackerNews의 기사입니다.

유튜브 채널에서 이 뉴스를 시청하세요: https://www.youtube.com/watch?v=TrZdxrcYprE&t=29s

요약
인증되지 않은 원격 코드 실행 결함을 악용하는 APT5
기사 이름
인증되지 않은 원격 코드 실행 결함을 악용하는 APT5
설명
중국의 국가 후원 그룹이 인증되지 않은 원격 코드 실행 결함(CVE-2022-27518)을 악용하고 있습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기