인증되지 않은 원격 코드 실행 결함을 악용하는 APT5
미국 국가 안보국은 중국 국가 지원 그룹이 인증되지 않은 원격 코드 실행 결함(CVE-2022-27518)을 악용하여 Citrix ADC(애플리케이션 딜리버리 컨트롤러) 배포를 손상시키고 있다고 경고했습니다. 미국 국가안보국(NSA)에 따르면 APT5로 알려진 중국 해킹 그룹이 Citrix 애플리케이션 딜리버리 컨트롤러에 대한 기능을 시연했다고 합니다.
NSA와 Citrix에 따르면, 통신 및 기술 회사를 표적으로 삼는 것으로 알려진 중국 국영 위협 공격자인 APT5(UNC2630 및 MANGANESE라고도 함)가 이 취약점을 적극적으로 악용하고 있다고 합니다. APT5는 이전에 Pulse Secure VPN의 취약점을 악용한 적이 있습니다. 익스플로잇의 정확한 세부 사항은 공개되지 않았습니다.
CVE-2022-27518은 SAML(보안 어설션 마크업 언어) SP(서비스 공급자) 또는 SAML IdP(ID 공급자)로 구성된 경우 Citrix ADC 또는 Citrix Gateway에 영향을 미치는 원격 코드 실행(RCE) 취약성입니다. 인증되지 않은 원격 공격자가 이 심각한 취약점을 악용하여 임의의 코드를 실행할 수 있습니다. CVE-2022-27518은 최초 공개 당시 CVSSv3 점수를 받지 못했습니다.
NSA의 권고는 중국의 정보 작전으로 의심되는 기술을 공개하고 향후 공격을 피할 수 있는 방법에 대해 가능한 표적에 조언함으로써 효과적으로 중국 정보 작전을 무력화합니다. 반면에 Citrix는 이 취약점을 통해 인증되지 않은 원격 공격자가 어플라이언스에서 임의의 코드를 실행할 수 있다고 주장합니다. 공격자는 이 취약점을 악용하여 취약한 Citrix ADC 인스턴스를 표적으로 삼고 인증 제어를 우회하여 표적 조직에 액세스할 수 있습니다.
Citrix가 이 취약점을 해결하기 위해 긴급 패치를 발표했음에도 불구하고 "야생에서 완화되지 않은 어플라이언스에서 이 문제를 악용하는 사례가 보고되었다"는 보고가 있었습니다.
또한 인증되지 않은 원격 공격자가 이 결함을 악용하여 취약한 어플라이언스에서 임의의 코드를 실행할 수 있습니다. 이 취약점에 대한 해결 방법은 없으며, 영향을 받는 버전(SAML SP 또는 IdP 구성이 있는 버전)을 실행 중인 고객은 즉시 업데이트해야 한다고 설명합니다.
주요 결함은 CWE-644이며, 이는 Lifecycle 동안 리소스의 부적절한 제어를 의미합니다. 영향을 받는 제품에는 13.0-58.32 이전의 Citrix ADC 및 Citrix Gateway 13.0, 12.1-65.25 이전의 Citrix ADC 및 Citrix Gateway 12.1, 12.1-55.291 이전의 Citrix ADC 12.1-FIPS, 12.1-55.291 이전의 Citrix ADC 12.1-NDcPP가 있습니다.
이 글의 출처는 TheHackerNews의 기사입니다.
유튜브 채널에서 이 뉴스를 시청하세요: https://www.youtube.com/watch?v=TrZdxrcYprE&t=29s