Shadowserver 재단의 보안 연구원들은 최소 15,000개의 기기가 이 취약점(CVE-2023-3519)에 노출되어 공격에 매우 취약할 가능성이 높다고 밝혔습니다. 이는 Citrix가 최근 버전 해시 정보를 제거한 이후로 현재 낮은 버전의 Citrix 인스턴스에는 아직 버전 해시가 포함되어 있다는 점을 반영한 것입니다. 연구원들은 또한, 버전 해시가 없어서 태깅되지 않은 취약한 버전이 있을 수 있으므로 공격에 노출될 수 있는 Citrix 서버의 총 수를 낮게 계산했다는 점을 언급했습니다.

Citrix는 이 RCE 취약점을 해결하기 위해 7월 18일 보안 업데이트를 출시했으며, "CVE-2023-3519의 취약점 이용이 관찰되었으므로"라고 밝히며 고객들에게 가능한 빨리 패치를 설치할 것을 촉구했다. 또한, 패치되지 않은 Netscaler 기기들은 게이트웨이(VPN 가상 서버, ICA 프록시, CVPN, RDP 프록시) 또는 인증 가상 서버(AAA 서버라고 불리움)로 구성되어야 공격에 취약해진다는 점을 덧붙였습니다.

CVE-2023-3519 RCE 제로데이는 해커 포럼에서 Citrix ADC 제로데이 결함을 광고하기 시작한 7월 첫주부터 인터넷에 공개된 것으로 보입니다. CISA는 지난 수요일에 미 연방 기관들에게 8월 9일까지 네트워크의 Citrix 서버를 안전하게 보호하도록 명령했으며, 이미 이 버그가 미국의 중요 인프라 기관의 시스템을 침투하는 데 사용되었다고 경고했습니다.

요약

- Shadowserver 재단의 연구원들은 Citrix Netscaler ADC와 Gateway 서버가 원격 코드 실행(RCE) 제로데이 버그에 취약하다고 밝혔다.
- Citrix는 이 취약점을 해결하기 위한 보안 업데이트를 출시했으며, 고객들에게 패치를 설치하도록 촉구했다.
- 보안 당국은 이미 이 취약점이 미국의 중요 인프라 기관의 시스템을 침해하는 데 사용되었다고 경고했다.

Reference

https://www.bleepingcomputer.com/news/security/over-15k-citrix-servers-vulnerable-to-cve-2023-3519-rce-attacks/

*※ 이 글은 생성형 AI(Chatgpt-4)에 의해 요약되었습니다.