CVE-2025-5777 탐지: NetScaler ADC에서 발견된 “CitrixBleed 2”로 불리는 새로운 치명적 취약점, 악용 위험 직면

주요 Linux 배포판에 영향을 미치는 두 개의 Sudo 관련 로컬 권한 상승 취약점 공개 직후, 이미 실제 공격에 악용된 NetScaler ADC의 심각한 보안 문제로 관심이 이동했습니다. CVE-2025-5777로 추적되는 이 취약점은 메모리 오버플로우 문제로, 예기치 않은 제어 흐름과 잠재적인 서비스 거부(DoS) 상황을 초래할 수 있습니다. CVE-2025-5777은 이전에 공개된 CVE-2023-4966(일명 CitrixBleed)와 유사하다는 점 때문에 주목받았으며, 이 역시 Citrix의 NetScaler ADC 및 Gateway 인스턴스에 영향을 미쳤습니다. 이에 따라 CVE-2025-5777은 비공식적으로 ‘CitrixBleed 2’라는 별칭으로 불리고 있습니다.

CVE-2025-5777 공격 시도 탐지하기

디지털 환경이 날로 복잡해지면서 신규로 확인되는 취약점 수도 급증하여 사이버보안 팀의 부담이 크게 증가하고 있습니다. 2025년 한 해 동안만 NIST는 이미 24,000개 이상의 CVE를 문서화했으며, 예상에 따르면 연말까지 이 숫자가 49,000건을 초과할 수 있습니다.

SOC Prime 플랫폼에 가입하여 최신 CitrixBleed 2 취약점의 공격 시도 탐지 등 실제 공격 대응에 도움이 되는 글로벌 활성 위협 피드와 실용적인 위협 인텔리전스, 전문적으로 큐레이션된 탐지 콘텐츠를 활용하세요.

특히, SOC Prime 팀이 제공하는 전용 룰은 CVE-2025-5777(일명 CitrixBleed 2)의 악용을 식별하는 데 도움을 줍니다. 이 취약점은 응답 과정에서 메모리 누출을 발생시켜 세션 토큰 및 기타 민감한 데이터가 유출될 위험이 있습니다.

Possible CitrixBleed 2 Exploitation Attempt [CVE-2025-5777]

이 룰은 16개 SIEM, EDR, 데이터 레이크 플랫폼과 호환되며, MITRE ATT&CK 프레임워크에 부합합니다. 주요 전술은 ‘공개 대상 애플리케이션의 악용(Exploit Public-Facing Application, T1190)’입니다. 또한, SOC Prime 플랫폼 내 각 룰은 위협 인텔리전스(CTI) 링크, 공격 타임라인, 감사 구성, 기타 관련 메타데이터로 보강되어 있습니다.

CitrixBleed 2 익스플로잇을 탐지하는 신규 콘텐츠 항목을 추적하려는 보안 전문가들은 CVE-2025-5777 태그를 이용해 Threat Detection Marketplace를 탐색하거나 아래의 탐지 콘텐츠 보기 버튼을 클릭하면 됩니다.

탐지 콘텐츠 보기

취약점 악용 관련 전체 규칙과 쿼리를 탐색하고자 하는 분들은 전용 CVE 태그가 포함된 방대한 Sigma 규칙 라이브러리를 활용할 수 있습니다.

보안 엔지니어들은 또한 AI 기반 위협 탐지 엔지니어링을 위해 설계된 비에이전트형 사설 AI 도구인 Uncoder AI를 활용할 수 있습니다. Uncoder는 IOC를 자동으로 헌팅 쿼리로 전환하고, 원시 위협 보고서에서 탐지 룰을 생성하며, ATT&CK 태그 예측, AI 기반 쿼리 최적화, 다중 플랫폼 간 탐지 콘텐츠 번역 기능을 제공합니다.

CVE-2025-5777 분석

Citrix NetScaler 제로데이 목록에 새로운 중대 취약점 CVE-2025-5777이 추가되었습니다. ‘CitrixBleed 2’로 명명된 이 취약점은 이전 CVE-2023-4966(일명 CitrixBleed)과 유사한 점에서 연구자들의 관심을 끌었습니다. CVE-2023-4966은 2023년 10월 패치 이후에도 실제 공격에 지속적으로 악용되었습니다.

CVE-2025-5777은 CVSS 점수 9.3으로, 입력값 검증 부족으로 인해 메모리 오버리드가 발생합니다. 전작과 마찬가지로 CitrixBleed 2는 범위를 벗어난 메모리 읽기를 이용해 인증 정보, 특히 세션 토큰을 메모리에서 직접 탈취합니다. 탈취된 토큰은 MFA 우회와 활성 사용자 세션 탈취에 악용되어 중요한 시스템에 무단 접근을 허용할 수 있습니다. 단, 성공적인 공격을 위해서는 해당 어플라이언스가 Gateway(예: VPN 가상 서버, ICA Proxy, CVPN, RDP Proxy) 또는 AAA 가상 서버로 설정되어 있어야 합니다.

두 취약점 모두 인증 우회와 세션 탈취를 가능하게 하지만, CitrixBleed 2는 세션 쿠키 대신 세션 토큰에 초점을 맞춥니다. 쿠키는 보통 브라우저 세션에 연계되는 반면, 토큰은 API 호출이나 장기 애플리케이션 세션 등 지속 인증 메커니즘을 지원하는 경우가 많습니다. 이로 인해 공격자는 사용자가 브라우저를 종료하거나 세션을 마감한 후에도 여러 시스템에 대해 장기간 은밀하게 접근할 수 있습니다.

초기에는 CVE-2025-5777이 관리 인터페이스에 영향을 준다는 주장이 있었으나, 이후 NIST CVE 데이터베이스에서는 해당 내용이 삭제되었습니다. 그럼에도 불구하고 ReliaQuest 연구진은 세션 탈취, 소비자 VPN IP 사용, AD 정찰 도구 사용 등 실제 공격 정황을 관측했습니다.

이 결함은 다음 지원 버전의 NetScaler ADC 및 Gateway에 영향을 미칩니다: 14.1-43.56 이전의 14.1, 13.1-58.32 이전의 13.1, 13.1-FIPS/NDcPP 13.1-37.235 이전, 12.1-FIPS 12.1-55.328 이전. 12.1 및 13.0 버전은 지원 종료(EOL) 상태이며 여전히 취약합니다. Citrix는 고객에게 신속한 CVE-2025-5777 대응책으로 지원되는 고정 버전으로 업그레이드할 것을 권고합니다. 또한, 공급업체는 모든 NetScaler 어플라이언스가 고가용성 페어 또는 클러스터에서 업데이트된 후 활성 ICA 및 PCoIP 세션을 종료하는 특정 명령어 실행을 권장합니다. 이는 패치 이전에 시작된 잠재적으로 침해된 세션을 강제로 종료하여 사후 악용 위험을 최소화합니다.

69,000개 이상의 NetScaler Gateway 및 ADC 인스턴스가 현재 온라인에 노출되어 있어 공격 위험이 증가하고 있습니다. 다만 이들 중 얼마나 많은 인스턴스가 취약한 소프트웨어 버전을 사용 중인지는 명확하지 않습니다. 일부 공급업체는 아직 악용 사례를 확인하지 못했으나, 보안 커뮤니티에서는 조만간 CitrixBleed 2의 적극적인 악용이 있을 것으로 예상합니다. 잠재적 취약점 악용 시도를 사전에 탐지하기 위해, 보안팀은 AI, 자동화 기능, 실시간 위협 인텔리전스로 지원되는 SOC Prime의 종합 제품군을 활용해 조직의 방어력을 대폭 강화할 수 있습니다.