CVE-2023-4966 탐지: 실제 환경에서 적극적으로 악용되는 치명적인 Citrix NetScaler 취약점

목록에 추가된 중대한 Citrix NetScaler 제로데이에 대해 보안 연구자들은 10월에 패치가 발행되었음에도 불구하고 지속적으로 악용되는 새로운 위험한 취약점(CVE-2023-4966)을 경고합니다. 정보 유출 결함으로 표시된 CVE-2023-4966은 위협 행위자가 기존의 인증된 세션을 하이재킹하고 다중 인증(MFA)을 우회할 수 있는 잠재적인 결과를 초래할 수 있습니다. 보안 전문가들에 따르면, 보안 격차를 해소하기 위해서는 모든 활성 세션 종료가 업데이트 설치 후 필요하며, 패치만으로는 충분하지 않을 수 있습니다. 이 취약점은 가장 높은 심각도 수준을 얻었으며 CISA에 의해 KEV 카탈로그에 추가되었습니다.

CVE-2023-4966 익스플로잇 탐지

CVE-2023-4966을 무기화한 공격이 계속 증가하고 문제를 해결하기 위해 복잡한 접근이 필요한 상황에서, 보안 실무자들은 가능한 침입을 조기에 식별할 수 있는 신뢰성 있는 탐지 콘텐츠가 필요합니다. SOC Prime 팀은 CVE-2023-4966의 잠재적 익스플로잇 시도를 식별하기 위한 전용 탐지 규칙을 개발했습니다:

Citrix CVE-2023-4966 가능성 있는 익스플로잇 시도 (웹서버 통해)

이 규칙은 13개의 보안 분석 솔루션과 호환되며, MITRE ATT&CK 프레임워크, Exploit Public-Facing Application (T1190)이라는 기술과 함께 초기 액세스 전술을 다룹니다.

새로운 CVE 탐지를 목표로 한 광범위한 탐지 스택을 탐색하려면, 탐지 탐색 버튼을 클릭하세요. 보안 전문가들은 ATT&CK 참고 문서와 CTI 링크가 포함된 심도 깊은 사이버 위협 컨텍스트를 얻을 수 있고, 조직별 요구에 맞춘 실행 가능한 메타데이터로 위협 연구를 간소화할 수 있습니다.

탐지 탐색

CVE-2023-4966 분석

연구자들은 최근 CVE-2023-4966 으로 추적된 새로운 제로데이 취약점을 확인했으며, Citrix의 NetScaler ADC 및 Gateway 인스턴스에 영향을 미칩니다. Citrix는 CVE-2023-4966의 악용 시도가 민감한 정보의 누출로 이어질 수 있다고 고객에게 통지하는 사이버 보안 자문 을 발행했습니다. 공격자가 이를 무기화하려면 Citrix 인스턴스가 특정 기능을 가진 게이트웨이(VPN 가상 서버, ICA 프록시, CVPN, RDP 프록시) 또는 AAA 가상 서버로 설정되어야 합니다. CVE-2023-4966은 Citrix 관리 클라우드 서비스나 Citrix 관리 적응형 인증을 사용하는 고객에게는 영향을 미치지 않습니다.

CVE-2023-4966은 심각한 CVSS 점수 9.4에 도달했으며 제로데이 결함으로서 널리 악용되어 점점 더 많은 수의 고객을 증가하는 위험에 노출시켜 왔습니다.

CVE-2023-4966에 대한 패치가 10월 첫 10일 간에 발행되었음에도 불구하고, Citrix는 보호되지 않거나 완화되지 않은 장치에서 CVE-2023-4966 악용 사례가 관찰되었음을 강조하기 위해 자문서에 조정 사항을 추가했습니다.

Mandiant 연구자들 은 전문 서비스, 기술 산업 및 공공 부문을 대상으로 한 CVE-2023-4966의 적극적인 악용을 관찰했습니다. 결함의 성공적인 악용은 악의적 행위자가 확립된 인증 세션을 제어하게 하여 다중 인증 및 기타 견고한 인증 정책을 피할 수 있게 할 수 있습니다. 또한 연구자들은 패치 적용 전에 세션 데이터가 도난당한 후 추가적으로 공격 목적으로 악용된 세션 하이재킹 사건을 밝혀냈습니다.

현재의 악용 시도의 증거로 인해, CISA는 CVE-2023-4966와 서비스 거부 결함으로 추적되는 CVE-2023-4967을 알려진 악용 취약점 카탈로그.

에 추가했습니다. 위협을 완화하기 위해 Citrix는 즉시 영향을 받을 수 있는 인스턴스를 업데이트할 것을 권장하며, NetScaler ADC 또는 SDX 하드웨어에 NetScaler Gateway 장치를 가지고 있는 사용자는 VPX 인스턴스를 업그레이드해야 합니다.

실제 공격에서 제로데이를 활용하는 사례가 증가함에 따라, 사전 취약점 악용 활용 사례에 대한 탐지 콘텐츠는 조직의 사이버 회복력을 강화하기 위한 최우선 과제 중 하나입니다. 탐지 엔지니어링 역량을 강화하려면, Uncoder AI를 사용하세요. 이는 65개 언어 형식으로 즉시 번역할 수 있는 수고로움 없이 맞춤 정보로 코드를 풍부하게 하고, 일반 구문 및 논리 오류를 피하며 탐지를 더 빠르게 생성할 수 있는 최초의 능동적 위협 기반 방어 IDE입니다.