시트릭스블리드 2 취약점, 이미 익스플로잇 시작됐다

2023년 크게 화제가 됐던 취약점의 후속편이 돌아왔다. 시트릭스블리드(Citrix Bleed)의 후예인 시트릭스블리드2이다. 이미 해커들이 활발히 익스플로잇 하고 있으며, 이전 버전만큼이나 위협적인 것으로 분석되고 있다. 

시트릭스블리드는 시트릭스 넷스케일러(Citrix NetScaler)라는 유명 ADC(애플리케이션 배포 제어기) 장비와 넷스케일러게이트웨이(NetScaler Gateway) 장비에서 발견된 취약점이다. 넷스케일러 ADC와 게이트웨이가 네트워크 장비로서 높은 권한을 가지고 여러 자원에 연결되어 있어, 원래부터 공격자들에게 많은 관심을 받아왔기 때문에 시트릭스블리드 취약점은 보안 담당자와 해커 모두에게 집중적인 관심을 받았다.

시트릭스블리드 1은 CVE-2023-4966으로, 정보 노출 취약점으로 분류됐다. CVSS 기준 9.4점을 받은, 초고위험도 취약점이다. 당시 악명 높았던 록빗(LockBit) 랜섬웨어 조직들이 공격에 악용하면서 미국 CISA까지 나서서 보안 권고문을 내놓기도 해썼다. 시트릭스블리드 2는 CVE-2025-5777이며, CVSS 기준 9.3점을 받았다. 역시나 초고위험도다. 인증된 세션을 탈취하게 해주거나 다중 인증 장치를 우회할 수 있도록 해 주는 것으로 시트릭스블리드 1과 겹치기도 하지만 다른 부분도 있다.

시트릭스는 넷스케일러 ADC와 게이트웨이를 위한 최신 패치를 개발해 발표했다. 그리고 사용자들에게 최대한 빨리 패치를 적용하고, 활성화 된 세션을 종료 후 다시 시작할 것을 권하고 있다. 시트릭스블리드 1 사태 때도 패치만으로 문제가 해결되지 않았었다. 세션 종료까지 해야 비로소 안전해졌는데, 많은 사용자들이 패치만 함으로써 반쪽짜리 대처만 했고, 그래서 패치를 했음에도 공격을 허용했었다.

보안 업체 렐리아퀘스트(ReliaQuest)는 “(어떤 조치를 취하든) 늦었을 수 있다”고 경고한다. “이미 일부 해킹 조직들이 실제 익스플로잇 공격을 하고 있기 때문”이다. “공격 대상에 최초 접근하는 데에 이 취약점을 악용하는 것으로 분석되고 있습니다.”

렐리아퀘스트는 “넷스케일러 장비에서 인증된 사용자 모르게 활성화 된 웹 세션이 여러 개 있다면 의심해야 한다”고 경고한다. “보통 다중인증을 정상적으로 통과해 세션을 생성한 사용자라면, 그 세션 하나만 유지하고 있어야 합니다. 그런데 그 사용자도 모르게 여러 세션이 존재한다? 그것도 활성화 되어 있다? 누군가 다중인증을 불법적으로 통과한 것이죠.”

그 외에 다수 IP에서 동일한 세션이 재사용된 흔적도 ‘의심해볼 만한’ 정황 증거 중 하나라고 렐리아퀘스트는 짚는다. “실제 공격 사례를 분석했을 때 정상 IP와 의심스러운 IP가 혼합되어 있기도 했습니다. AD 환경을 정찰하려는 목적으로 보이는 LDAP 쿼리도 있었고, ADExplorer64.exe라는 AD 해킹 도구가 사용자 환경에서 발견되기도 했습니다.” 참고로 ADExplorer64.exe는 권한 정보를 조회하고, 여러 도메인 제어기에 연결해주는 기능을 가지고 있다.

데이터센터 호스팅 IP 주소로부터 발생한 시트릭스 세션들이 최근 눈에 띄게 증가하고 있다고 렐리아퀘스트는 경고하기도 한다. “이는 소비자용 VPN 서비스가 공격에 사용되었을 가능성을 시사합니다.” 그러면서 “이런 모든 신호들이 방어자들로서는 주의 깊게 살펴야 할 징후들이 된다”고 강조했다.

Related Materials

• CitrixBleed 2 Proof of Concept Released - Integrity360, 2025년
• Mitigating CitrixBleed 2 (CVE‑2025‑5777) NetScaler Memory Vulnerability - Akamai, 2025년
• CVE-2025-5777: Citrix Bleed 2 Memory Leak Vulnerability Explained - Picus Security, 2025년
• CitrixBleed 2 Exploit Bypasses MFA, Threatens Enterprise Security - Petri, 2025년