상세 컨텐츠

본문 제목

공개된 Citrix Workspace 취약점, 새로운 공격 벡터에 노출

국내외 보안동향

by 알약4 2020. 9. 23. 14:00

본문

Known Citrix Workspace Bug Open to New Attack Vector

 

지난 7월 수정된 Citrix Workspace 취약점에 또 다른 공격 벡터가 존재하는 것으로 나타났습니다. 공격자는 이를 악용하여 권한을 상승시켜 시스템 계정 권한으로 원격으로 임의 명령을 실행할 수 있습니다.

 

이 취약점 (CVE-2020-8207)은 윈도우용 Citrix Workspace 애플리케이션의 자동 업데이트 서비스에 존재합니다.

 

Citrix의 권고문에 따르면 이 취약점은 로컬 권한 상승 및 해당 프로그램을 실행하는 컴퓨터의 윈도우 파일 공유(SMB)가 활성화된 경우 원격 해킹이 가능하도록 허용할 수 있습니다.

 

이 취약점은 지난 여름 동안 대부분 수정되었으나 최근 공격자들이 여전히 Citrix로 서명된 MSI 인스톨러를 악용할 수 있다는 사실이 밝혀졌습니다. MSI는 윈도우 인스톨러 패키지의 파일명 확장자입니다. 이로 인해 해당 버그는 원격 커맨드라인 인젝션 취약점으로 변경되었습니다.

 

해당 업데이트 서비스는 업데이트가 진행되어야 할지 말지 결정하기 위해 JSON 페이로드 내 취약점이 존재하는 파일 해시를 사용했습니다. 따라서 공격자들은 이 취약한 해시를 악용해 자신의 코드를 다운로드하도록 만들었습니다. 

 

이 문제를 해결하는 최신 업데이트는 Citrix 업데이트 서버에서 직접 다운로드할 수 있습니다. 또한 이 서비스는 “UpdateFilePath 파일 속성에서 설치를 위해 요청된 파일 및 해시를 상호 참조합니다.

 

Pen Test Partners의 연구원들은 이에 대해 아래와 같이 언급했습니다.

 

업데이트 파일이 서명되고 유효하며 업데이트 파일의 해시가 목록 내 파일 중 하나와 일치할 경우 업데이트 파일이 실행되고 업그레이드가 진행됩니다.”

 

하지만 해당 패치는 공격 표면을 제한하기 위해 원격 연결을 차단하지 않았습니다.

 

카탈로그에는 실행파일 및 설치를 위한 MSI 파일이 포함되어 있습니다.”

 

“MSI 파일은 실행파일과 동일한 방식으로 실행될 수 없습니다. 따라서 업데이트 서비스는 이를 다르게 처리해야 합니다.”

 

연구원들이 설치 실행 코드를 살펴본 결과, 이 애플리케이션은 업데이트를 위해 요청된 파일의 확장자를 확인하고 MSI로 끝날 경우 윈도우 인스톨러 파일로 간주한다는 사실을 발견했습니다.

 

MSI 파일은 수정을 방지하기 위해 서명 및 해싱되었지만 윈도우 인스톨러에서는 MSI 변환(MST) 기능을 지원합니다.

 

사용자가 MST를 적용하기 위해서는 명령 줄에서 변환 파일로 연결되는 경로를 지정해야 합니다. 이로써 설치 프로세스 도중 MST 파일에 발생한 변경 사항이 메인 MSI 파일에 반영됩니다.

 

“msiexec로 전달된 인수를 제어할 수 있기 때문에 카탈로그 파일에 존재하는 서명된 공식 Citrix MSI를 통해 악성 변환으로 이어지는 경로를 포함시킬 수 있게 됩니다.”

 

악성 변환은 마이크로소프트 Orca라는 툴 또는 커스텀 툴을 통해 생성될 수 있습니다. 이후 공격자가 취약점을 악용하기 위해서는 피해자 컴퓨터를 위해 준비된 네트워크 공유에 MSI 인스톨러 원본과 MST를 배치해야 합니다.

 

“CitrixReceiverUpdate.exe의 인스턴스가 피해자의 호스트에서 실행되는 동안 로컬 및 원격 권한 상승 방법 모두 악용이 가능합니다.”

 

이번에 발견된 원격 벡터는 악용이 더욱 쉽습니다. MSIMST 파일을 공격자가 제어하는 네트워크 공유에 모두 배치할 수 있기 때문입니다.”

 

윈도우용 Citrix Workspace 사용자들은 애플리케이션을 개정된 패치가 포함된 최신 버전으로 업데이트하시기 바랍니다.

 

 

 

 

출처:

https://threatpost.com/citrix-workspace-new-attack/159459/

https://support.citrix.com/article/CTX277662

https://www.pentestpartners.com/security-blog/the-return-of-raining-system-shells-with-citrix-workspace-app/


관련글 더보기

댓글 영역