blog.criminalip.io
Open in
urlscan Pro
192.0.78.13
Public Scan
Submitted URL: https://event.stibee.com/v2/click/MTgwOTExLzEzODIzOTUvMTE3NDMxLw/aHR0cHM6Ly9ibG9nLmNyaW1pbmFsaXAuaW8va28vMjAyMy8wMS8yMC9j...
Effective URL: https://blog.criminalip.io/ko/2023/01/20/citrix-%EC%B7%A8%EC%95%BD%EC%A0%90/
Submission: On June 13 via api from US — Scanned from DE
Effective URL: https://blog.criminalip.io/ko/2023/01/20/citrix-%EC%B7%A8%EC%95%BD%EC%A0%90/
Submission: On June 13 via api from US — Scanned from DE
Form analysis 7 forms found in the DOM
GET https://blog.criminalip.io/ko/
<form role="search" class="searchform fusion-search-form fusion-search-form-clean" method="get" action="https://blog.criminalip.io/ko/">
<div class="fusion-search-form-content">
<div class="fusion-search-field search-field">
<label><span class="screen-reader-text">검색:</span>
<input type="search" value="" name="s" class="s" placeholder="검색..." required="" aria-required="true" aria-label="검색...">
</label>
</div>
<div class="fusion-search-button search-button">
<input type="submit" class="fusion-search-submit searchsubmit" aria-label="검색" value="">
</div>
</div>
<input type="hidden" name="lang" value="ko">
</form>GET https://blog.criminalip.io/ko/
<form role="search" class="searchform fusion-search-form fusion-search-form-clean" method="get" action="https://blog.criminalip.io/ko/">
<div class="fusion-search-form-content">
<div class="fusion-search-field search-field">
<label><span class="screen-reader-text">검색:</span>
<input type="search" value="" name="s" class="s" placeholder="검색..." required="" aria-required="true" aria-label="검색...">
</label>
</div>
<div class="fusion-search-button search-button">
<input type="submit" class="fusion-search-submit searchsubmit" aria-label="검색" value="">
</div>
</div>
<input type="hidden" name="lang" value="ko">
</form>GET https://blog.criminalip.io/ko/
<form role="search" class="searchform fusion-search-form fusion-search-form-clean" method="get" action="https://blog.criminalip.io/ko/">
<div class="fusion-search-form-content">
<div class="fusion-search-field search-field">
<label><span class="screen-reader-text">검색:</span>
<input type="search" value="" name="s" class="s" placeholder="검색..." required="" aria-required="true" aria-label="검색...">
</label>
</div>
<div class="fusion-search-button search-button">
<input type="submit" class="fusion-search-submit searchsubmit" aria-label="검색" value="">
</div>
</div>
<input type="hidden" name="lang" value="ko">
</form><form id="commentform" class="comment-form">
<iframe title="댓글 양식"
src="https://jetpack.wordpress.com/jetpack-comment/?blogid=191041092&postid=11324&comment_registration=0&require_name_email=1&stc_enabled=1&stb_enabled=1&show_avatars=1&avatar_default=mystery&greeting=%EB%8C%93%EA%B8%80+%EB%82%A8%EA%B8%B0%EA%B8%B0&jetpack_comments_nonce=b5958595ae&greeting_reply=%25s+%EC%97%90+%EC%9D%91%EB%8B%B5+%EB%82%A8%EA%B8%B0%EA%B8%B0&color_scheme=light&lang=ko_KR&jetpack_version=13.6-a.1&show_cookie_consent=10&has_cookie_consent=0&is_current_user_subscribed=0&token_key=%3Bnormal%3B&sig=068215d50b3089138bead2618495a852048040ae#parent=https%3A%2F%2Fblog.criminalip.io%2Fko%2F2023%2F01%2F20%2Fcitrix-%25EC%25B7%25A8%25EC%2595%25BD%25EC%25A0%2590%2F"
name="jetpack_remote_comment" style="width: 100%; height: 2px; border: 0px;" class="jetpack_remote_comment" id="jetpack_remote_comment" sandbox="allow-same-origin allow-top-navigation allow-scripts allow-forms allow-popups" scrolling="no">
</iframe>
<!--[if !IE]><!-->
<script>
document.addEventListener('DOMContentLoaded', function() {
var commentForms = document.getElementsByClassName('jetpack_remote_comment');
for (var i = 0; i < commentForms.length; i++) {
commentForms[i].allowTransparency = false;
commentForms[i].scrolling = 'no';
}
});
</script>
<!--<![endif]-->
</form>GET https://blog.criminalip.io/ko/
<form role="search" class="searchform fusion-search-form fusion-search-form-clean" method="get" action="https://blog.criminalip.io/ko/">
<div class="fusion-search-form-content">
<div class="fusion-search-field search-field">
<label><span class="screen-reader-text">검색:</span>
<input type="search" value="" name="s" class="s" placeholder="검색..." required="" aria-required="true" aria-label="검색...">
</label>
</div>
<div class="fusion-search-button search-button">
<input type="submit" class="fusion-search-submit searchsubmit" aria-label="검색" value="">
</div>
</div>
<input type="hidden" name="lang" value="ko">
</form>POST https://wordpress.com/email-subscriptions
<form action="https://wordpress.com/email-subscriptions" method="post" accept-charset="utf-8" data-blog="191041092" data-post_access_level="everybody" data-subscriber_email="" id="subscribe-blog">
<div class="wp-block-jetpack-subscriptions__form-elements">
<p id="subscribe-email">
<label id="subscribe-field-label" for="subscribe-field" class="screen-reader-text"> 이메일 주소 입력… </label>
<input required="required" type="email" name="email" style="font-size: 16px;padding: 15px 23px 15px 23px;border-radius: 50px;border-width: 1px;" placeholder="이메일 주소 입력…" value="" id="subscribe-field" title="이 필드를 작성하세요.">
</p>
<p id="subscribe-submit">
<input type="hidden" name="action" value="subscribe">
<input type="hidden" name="blog_id" value="191041092">
<input type="hidden" name="source" value="https://blog.criminalip.io/ko/2023/01/20/citrix-%EC%B7%A8%EC%95%BD%EC%A0%90/">
<input type="hidden" name="sub-type" value="subscribe-block">
<input type="hidden" name="app_source" value="atomic-subscription-modal-lo">
<input type="hidden" name="redirect_fragment" value="subscribe-blog">
<input type="hidden" name="lang" value="ko_KR">
<input type="hidden" id="_wpnonce" name="_wpnonce" value="3dda1c2411"><input type="hidden" name="_wp_http_referer" value="/ko/2023/01/20/citrix-%EC%B7%A8%EC%95%BD%EC%A0%90/"><input type="hidden" name="post_id" value="11324"> <button
type="submit" class="wp-block-button__link" style="font-size: 16px;padding: 15px 23px 15px 23px;margin: 0; margin-left: 10px;border-radius: 50px;border-width: 1px;" name="jetpack_subscriptions_widget"> 구독 </button>
</p>
</div>
</form><form id="jp-carousel-comment-form">
<label for="jp-carousel-comment-form-comment-field" class="screen-reader-text">댓글 달기...</label>
<textarea name="comment" class="jp-carousel-comment-form-field jp-carousel-comment-form-textarea" id="jp-carousel-comment-form-comment-field" placeholder="댓글 달기..."></textarea>
<div id="jp-carousel-comment-form-submit-and-info-wrapper">
<div id="jp-carousel-comment-form-commenting-as">
<fieldset>
<label for="jp-carousel-comment-form-email-field">이메일 (필수)</label>
<input type="text" name="email" class="jp-carousel-comment-form-field jp-carousel-comment-form-text-field" id="jp-carousel-comment-form-email-field">
</fieldset>
<fieldset>
<label for="jp-carousel-comment-form-author-field">이름 (필수)</label>
<input type="text" name="author" class="jp-carousel-comment-form-field jp-carousel-comment-form-text-field" id="jp-carousel-comment-form-author-field">
</fieldset>
<fieldset>
<label for="jp-carousel-comment-form-url-field">웹사이트</label>
<input type="text" name="url" class="jp-carousel-comment-form-field jp-carousel-comment-form-text-field" id="jp-carousel-comment-form-url-field">
</fieldset>
</div>
<input type="submit" name="submit" class="jp-carousel-comment-form-button" id="jp-carousel-comment-form-button-submit" value="댓글 달기">
</div>
</form>Text Content
콘텐츠로 건너뛰기 * English * 日本語 * English * 日本語 검색: * Go to Criminal IP * HOME * Notice * Cybersecurity Report * User Guide * Criminal IP Search Tip * Weekly Denylist * 검색: * Go to Criminal IP * HOME * Notice * Cybersecurity Report * User Guide * Criminal IP Search Tip * Weekly Denylist * * Go to Criminal IP * HOME * Notice * Cybersecurity Report * User Guide * Criminal IP Search Tip * Weekly Denylist 검색: * Go to Criminal IP * HOME * Notice * Cybersecurity Report * User Guide * Criminal IP Search Tip * Weekly Denylist * Go to Criminal IP * HOME * Notice * Cybersecurity Report * User Guide * Criminal IP Search Tip * Weekly Denylist * View Larger Image OSINT로 CITRIX 취약점 탐지 : CVE-2022-27510, CVE-2022-27518 2022년도 후반에 Citrix ADC 와 Citrix Gateway 장비에서 두 가지 치명적인 취약점인 CVE-2022-27510, CVE-2022-27518 가 보고되었다. 이 두 Citrix 취약점은 CVSS 스코어가 모두 9.8점 Critical 이 나올 정도로 강력한 취약점이며, 실제 해킹 공격에도 많이 악용되고 있다는 사례가 지금도 계속 보고되고 있다. 해당 보안 취약점을 가지고 있는 Citrix ADC 와 Gateway가 아직도 인터넷에는 다수 방치되어 있다. 물론 Citrix 의 HTTP 배너에는 정확한 버전명을 표기하지 않고 있기 때문에 CVE-2022-27510, CVE-2022-27518 취약점을 보유하고 있는 케이스를 정확히 캐치할 수는 없다는 의견도 있지만, 그것은 정확한 이야기가 아니다. 약간의 OSINT 기술을 이용하면 Citrix ADC / Gateway 의 버전 정보를 정확히 알아낼 수 있고, 공격자들은 알아낸 버전정보를 이용하여 인터넷에 방치되어 있는 Citrix ADC / Gateway 의 서버에 불법적으로 침투할 수 있다. 지속적으로 악용되는 CVE-2022-27510, CVE-2022-27518 우선 몇달 전 보고된 Citrix ADC / Gateway 의 두 가지 취약점인 CVE-2022-27510, CVE-2022-27518 에 대해서 알아보고자 한다. * CVE-2022-27510 : 게이트웨이 사용자 기능에 대한 무단 액세스(Unauthorized access to Gateway user capabilities) * CVE-2022-27518 : 인증되지 않은 원격 임의 코드 실행 2022년 11월 8일에 Citrix가 발표한 CVE-2022-27510 취약점 설명에 의하면, 이것은 Citrix ADC (구 NetScaler) 및 Citrix Gateway에 영향을 미치는 인증 우회 취약점이며, 로그인을 우회하여 Citrix 에 침투할 수 있는 문제를 가지고 있다고 한다. 또한 사이버 보험 기업 앳-베이(At-Bay)의 사이버 연구팀은 2023년인 올해 첫 주 로얄 랜섬웨어 그룹이 이를 적극적으로 악용하고 있는 정황을 포착했다고 전하기까지 했다. 또한, CVE-2022-27518 에 관해서는 2022년 12월 13일, NSA (National Security Agency)가 해킹공격 그룹인 APT5가 이 취약점을 이용하여 Citrix ADC 서버를 적극적으로 악용하고 있다고 보안 공지를 발표할 정도로 심각한 문제로 알려져 있다. 인터넷에 방치된 채 노출된 CITRIX ADC / GATEWAY 이처럼 악명 높은 해커가 악용하고 있다는 이야기가 공식적으로 나올 정도로 심각한 상황이다. Criminal IP 로 해당 취약점을 분석해 본 결과, 현재도 수만 대 이상의 Citrix ADC / Gateway 시스템이 인터넷에 방치된 채 노출되어 있으며, 그 중에서 이 취약점을 가진 머신만 수천 대 이상인 것으로 확인된다. Search Query: Title:”Citrix Gateway” * https://www.criminalip.io/ko/intelligence/element-analysis/search?query=title%3A%22Citrix+Gateway%22 Citrix Gateway 가 노출된 채 방치되어 있는 국가 통계 보다 자세한 내용은 Criminal IP 에서 확인할 수 있다. 일단 단순히 인터넷에 방치된 Citrix ADC 및 Gateway 서버의 어플라이언스 장비를 찾는 것은 Criminal IP 의 HTML Title 필터만으로도 바로 확인이 가능하다. Search Query: Title:”Citrix Gateway” * https://www.criminalip.io/ko/asset/search?query=title%3A%22Citrix+Gateway%22 Criminal IP Asset Search 에 Title: “Citrix Gateway”로 검색한 결과, 인터넷에 방치된 Citrix ADC 및 Gateway 서버의 어플라이언스 장비를 찾을 수 있다 OSINT를 통한 CITRIX 취약점 보유 버전 확인 그러나 앞서 이야기한대로, 이 HTTP 배너에서는 버전 정보까지 노출되지는 않기 때문에, CVE-2022-27510, CVE-2022-27518 문제를 갖고 있는 Citrix ADC / Gateway 시스템을 찾는 것은 쉽지 않다. 하지만 OSINT 기법을 이용하면 장비의 버전을 알아낼 수 있는 방법이 있다. 인터넷에서 쉽게 찾을 수 있는 정보로, Citrix ADC / Gateway 시스템은 어떠한 해시(hash) 값을 가지고 있는데 이 값은 버전마다 고유하기 때문에 해시값을 비교해 본다면 이 시스템의 버전명을 알 수 있게 된다. 예를 들어 아래 깃허브의 스크린 샷을 보면 26df0e65fba681faaeb333058a8b28bf 에 해당하는 해시값은 버전이 12.1-50.28 임을 알 수 있다. * 깃허브 출처: https://gist.github.com/fox-srt/c7eb3cbc6b4bf9bb5a874fa208277e86 버전마다 고유한 해시값을 통해 Citrix ADC / Gateway 시스템의 버전 정보를 알 수 있다 그리고 Criminal IP 에서 title:”Citrix Gateway” 로 검색 후, 결과 값 가운데 랜덤으로 배너 정보를 확인해 보았다. 아래 스크린샷과 같이 HTML body 내에 해시값이 표기되어 있고, 화면에 보이는 2b46554c087d2d5516559e9b8bc1875d 라는 해시값은 13.0-84.11 버전이라는 것을 알 수 있다. 즉 이 IP주소에 가동되고 있는 Citrix Gateway 의 버전은 13.0-84.11 이다. Criminal IP의 배너 검색 결과의 해시값을 통해 Citrix Gateway 의 버전 정보를 확인할 수 있다 조금 더 깔끔하게 분류된 에디터를 통해 살펴보면 HTML 코드에 아래와 같이 해시값이 구성되어 있다는 것을 쉽게 확인할 수 있다. 여기 매개변수를 보면 ‘?v=6e7b2de88609868eeda0b1baf1d34a7e’ 해시값이 URL에 추가되어 있다. HTML 코드에 표기되어 있는 해시값, Citrix ADC / Gateway 의 버전 정보를 확인할 수 있다 이 정보들을 활용하여 CVE-2022-27510, CVE-2022-27518 취약점에 노출되어 있는 Citrix ADC / Gateway 버전 정보를 확인할 수 있었다. 그리고 아래 내용은 버전별로 CVE-2022-27510 또는 CVE-2022-27518 를 몇 가지만 샘플로 매핑해 본 표이다. 취약한 CITRIX ADC / GATEWAY 버전 * 12.1-65.21 (CVE-2022-27518 취약점 존재) * 12.1-63.22 (CVE-2022-27510 & CVE-2022-27518 취약점 존재) * 13.0-58.32 (CVE-2022-27510 취약점 존재) * 12.1-57.18 (CVE-2022-27510 & CVE-2022-27518 취약점 존재) * 13.0-47.24 (CVE-2022-27510 & CVE-2022-27518 취약점 존재) * 12.1-63.23 (CVE-2022-27510 & CVE-2022-27518 취약점 존재) * 12.1-55.18 (CVE-2022-27510 & CVE-2022-27518 취약점 존재) * 12.1-65.15 (CVE-2022-27510 & CVE-2022-27518 취약점 존재) * 13.0-83.27 (CVE-2022-27510 취약점 존재) * 13.0-83.29 (CVE-2022-27510 취약점 존재) * 12.1-62.27 (CVE-2022-27510 취약점 존재) * 13.0-87.9 (CVE-2022-27510 취약점 존재) * 13.0-52.24 (CVE-2022-27510 & CVE-2022-27518 취약점 존재) * 13.0-71.44 (CVE-2022-27510 취약점 존재) HASH 값으로 취약한 CITRIX 버전 확인 이런 방법을 응용하면 Citrix ADC / Gateway 가 가진 심각한 보안 취약점인 CVE-2022-27510 과 CVE-2022-27518 를 보유하고 있는 시스템을 정확히 판별할 수 있다. 그럼 이제부터는 그 해시값을 바로 이용하여 검색할 수도 있다. 예를 들어서 취약한 버전 (12.1-65.21) 만 확인하고자 한다면 이 버전에 해당하는 해시값을 그대로 검색에 이용하면 된다. Search Query: “Citrix Gateway” “c1b64cea1b80e973580a73b787828daf” country: KR * https://www.criminalip.io/ko/asset/search?query=%22Citrix+Gateway%22+%22c1b64cea1b80e973580a73b787828daf%22+country%3A+KR 취약한 버전의 해시값을 이용한 검색 쿼리, 취약한 버전을 사용하는 IP 주소를 검색할 수 있다 무단 액세스, 임의 코드 실행까지 가능한 심각한 취약점이 발견되었는데, 정작 어떤 버전을 사용하고 있는지 몰라 보안 위협에 대응하지 못할 수는 없다. Citrix의 버전 정보가 공개되어 있지 않았다고 해도, OSINT 정보를 통해 알아낸 특정 버전의 해시값을 검색해 보면, Citrix 취약점을 보유한 IT 자산을 식별해 낼 수 있다. 작년 CVE 공표 후, 악용사례가 지속적으로 보고되고 있고, 생각보다 많은 버전이 CVE-2022-27510, CVE-2022-27518 취약점에 노출되어 있어 빠른 보안 대응이 필요하다. 관련하여 포티넷 인증 우회 취약점 CVE-2022-40684의 보안 점검 중요성에 대해 다룬 글을 참고해도 좋다. -------------------------------------------------------------------------------- 데이터 출처 : Criminal IP (https://www.criminalip.io/ko) 관련 글 : > CVE-2022-40684: 즉시 점검해야 하는 Fortinet 인증우회 취약점 * Facebook * X * By Criminal IP|2023-01-31T10:52:16+09:002023-01-20|Tags: Citrix, Vulnerabilities|0 댓글 플랫폼을 선택해 기사를 공유하세요! FacebookXRedditLinkedInTumblrPinterestVk 관련 글 외부에 노출된 자동차 번호판 인식 시스템, 개인정보 유출 주의 2024-06-07 | 0 댓글 CVE-2024-29212: RCE 취약점 영향을 받는 노출된 VEEAM SERVICE PROVIDER CONSOLE 2024-05-17 | 0 댓글 CRIMINAL IP 웨비나 | CRIMINAL IP 검색고급기술 특강: C2, OSINT 탐지 등 위협 헌팅 방법 2024-05-14 | 0 댓글 팔로알토 네트웍스 OS 명령 주입 취약점 CVE-2024-3400에 취약한 장비 탐지하기 2024-04-26 | 0 댓글 HTTP 서버 응답 콘텐츠 길이로 취약한 텔레스퀘어 장비 탐지하기 2024-04-15 | 0 댓글 CVSS 10점짜리 스크린커넥트 취약점에 노출된 서버 탐지(CVE-2024-1709) 2024-03-28 | 0 댓글 댓글 남기기응답 취소 SEARCH 검색: RECENT POSTS * CIP Weekly Denylist: 6월 2주차 Anonymous IPs * IP 주소 기반 CTI 데이터 ‘크리미널 IP’ 국내 최초 스노우플레이크 입점 * CIP Weekly Denylist: 6월 2주차 피싱 및 악성 Domain 검색어 * 외부에 노출된 자동차 번호판 인식 시스템, 개인정보 유출 주의 * CIP Weekly Denylist: 6월 1주차 Anonymous IPs RECENT COMMENTS Ship Hacking: Uncove…이(가) Detecting Web Applications Exp…에 댓글 남김Detecting Web Applic…이(가) Over 100,000 Juniper Firewalls…에 댓글 남김Can Threat Intellige…이(가) IP Intelligence: How to Handle…에 댓글 남김Uncovering 57,000 QN…이(가) Cisco IOS XE Zero-Day Vulnerab…에 댓글 남김Nahid이(가) SkidSec Hacker Group Announces…에 댓글 남김 태그 Anonymous IPs Asset Search attack surface management CIP Denylist CIP Weekly Blacklist CIP Weekly Denylist Criminal IP Criminal IP FDS Cyber Threat Intelligence release note Search Tip title filter Vulnerabilities 릴리즈노트 릴리즈 노트 © Copyright 2017 - 2024 AI Spera Corporation. All Rights Reserved XLinkedIn 페이지 로드 링크 CIP BLOG에서 더 알아보기 지금 구독하여 계속 읽고 전체 아카이브에 액세스하세요. 이메일 주소 입력… 구독 계속 읽기 댓글 로드중... 댓글 달기... 이메일 (필수) 이름 (필수) 웹사이트 Go to Top