문의하기
블로그

CitrixBleed 2 (CVE-2025-5777) 대응 방안: 노출된 Citrix NetScaler 자산 탐지 가이드

2025년 7월, Citrix NetScaler ADC 및 Gateway 장비에서 발견된 메모리 유출 취약점(CVE-2025-5777)에 대한 PoC(개념 증명) 코드가 공개되며, 전 세계적으로 해당

2025. 07. 25.

2025년 7월, Citrix NetScaler ADC 및 Gateway 장비에서 발견된 메모리 유출 취약점(CVE-2025-5777)에 대한 PoC(개념 증명) 코드가 공개되며, 전 세계적으로 해당 장비를 대상으로 한 악용 시도가 증가하고 있다. 이 취약점은 작년 큰 피해를 일으킨 CitrixBleed(CVE-2023-4966)와 유사한 방식으로, 인증 없이 메모리에서 민감 정보를 유출할 수 있다는 점에서 높은 위험도를 가진다.

Citrix NetScaler는 기업 및 공공기관에서 SSL VPN 및 애플리케이션 전송 컨트롤러(ADC)로 광범위하게 사용되며, 본 취약점은 사용자 세션 토큰, 인증 정보, API 키 등 민감 데이터를 노출시킬 수 있다.

취약점 상세: CVE-2025-5777 (Citrix NetScaler 메모리 유출 및 인증 우회)

  • 취약점 번호: CVE-2025-5777 (일명 CitrixBleed2)
  • 영향 제품: Citrix NetScaler ADC / Gateway
  • 취약 유형: 인증 없이 메모리 일부 노출 (Memory Leak)
  • PoC: 공개됨 (GitHub)
  • 공격 방식: 인증 요청 포맷을 조작해, 응답 메시지 내에 메모리 내용을 포함시킴
CVE-2025-5777의 PoC 코드가 공개된 GitHub 저장소 – 실제 공격 시나리오 실행 가능
CVE-2025-5777의 PoC 코드가 공개된 GitHub 저장소 – 실제 공격 시나리오 실행 가능
메모리 유출 취약점(CVE-2025-5777) PoC 실행 결과 예시
메모리 유출 취약점(CVE-2025-5777) PoC 실행 결과 예시

GitHub에 공개된 PoC에서는 공격자가 Base64로 인코딩된 응답 데이터를 디코딩해 민감 정보를 추출하는 방법이 소개되었으며, 이를 통해 사용자 인증 토큰 또는 세션 식별자가 외부로 유출될 수 있다. 해당 취약점은 익스플로잇이 비교적 간단하고, 인증 우회가 가능하다는 점에서 위험성이 높다.

악용 현황 및 탐지 쿼리

PoC 공개 이후, 글로벌 Threat Intelligence 커뮤니티 및 Honeypot 기반 위협 감시 네트워크에서는 해당 취약점을 노린 스캐닝 트래픽을 다수 포착하고 있다.

Criminal IP Asset Search를 사용해 공개된 SSL VPN 포트를 기반으로 NetScaler 인스턴스를 탐지할 수 있다.

노출된 NetScaler를 식별하는 Criminal IP 쿼리는 다음과 같다.

Criminal IP로 CVE-2025-5777 에 취약한 Citrix 장비 탐지하기

사이버 공격자들이 CVE-2025-5777 취약점을 악용하기 위해 먼저 하는 일은 인터넷에 노출된 NetScaler 장비를 찾는 것이다.
Criminal IP의 Asset Search 기능을 사용하면, 공격자가 노리는 대상과 동일한 조건의 장비를 빠르게 탐지할 수 있다.

Criminal IP Search Query: “favicon: -4581a967

이 쿼리에는 특정 파비콘이 사용된 웹서버를 검색할 수 있는 favicon 필터가 사용되었다. Citrix NetScaler의 기본 로그인 페이지의 파비콘을 16진수로 변환한 해시값을 favicon 필터에 적용하면 전 세계에 노출된 Citrix NetScaler 인스턴스를 찾을 수 있다.

파비콘 해시를 이용한 IP 주소 탐지 및 보안 취약점 분석 방법은 favcion 필터 활용 방법 글을 참고할 수 있다.

해당 쿼리를 활용해 Citrix NetScaler 인스턴스를 식별하는 결과는 다음과 같다.

Criminal IP Asset Search로 favicon: -4581a967을 검색한 결과
Criminal IP Asset Search로 favicon: -4581a967을 검색한 결과

Criminal IP의 Asset Search로 favicon: -4581a967을 검색한 결과, 약 27,000개의 검색 결과가 나온 것을 알 수 있다. 또한, 미국, 오스트레일리아, 독일 등의 순으로 검색 결과가 많은 것을 알 수 있다. 

Asset Search의 상세 페이지
Asset Search의 상세 페이지

검색 결과에 나온 IP 주소 중 하나를 클릭해보면, 6개의 오픈 포트, 24개의 취약점이 발견되었음을 알 수 있다. 또한, SSL 인증서 중 3개가 자체 서명(Self-Signed)된 SSL 인증서임을 파악할 수 있다.

깃허브에 PoC가 공개된 취약점을 보유한 IP 주소 리포트
깃허브에 PoC가 공개된 취약점을 보유한 IP 주소 리포트

심지어, 보유한 24개의 취약점 중 하나는 깃허브에 PoC가 공개되어 있음을 확인할 수 있는 취약점으로, 즉각적인 조치가 필요하다.

자주 묻는 질문 (FAQ)

Q1. CVE-2025-5777은 모든 NetScaler 장비에 영향을 미치나요?

아닙니다. 해당 취약점은 Citrix NetScaler ADC 및 Gateway 제품의 특정 버전에만 영향을 미치며, 특히 지원이 종료된(EOL) 버전(예: 12.1, 13.0 계열)은 보안 패치가 제공되지 않으므로, 최신 버전으로의 업그레이드가 필수입니다.

현재 Citrix에서 제공한 보안 패치 적용 대상은 다음과 같습니다:

  • 13.1 계열: 13.1‑58.32 이상
  • 14.1 계열: 14.1‑43.56 이상
  • 12.1-FIPS 계열: 12.1‑55.328 이상

※ EOL 버전은 패치가 제공되지 않으며, 지원되는 버전으로 전환해야 합니다.

Q2. 추가적인 보안 조치나 완화 방법에는 어떤 것이 있나요?

Citrix는 이번 취약점에 대응하기 위한 보안 패치를 배포했으며, 다음과 같은 보안 조치들도 함께 수행할 것을 권장하고 있습니다:

  • 보안 패치 적용: Citrix에서 제공한 최신 보안 패치를 즉시 적용해야 합니다. 지원 종료(EOL) 버전은 업그레이드가 필요합니다.
  • 관리자 인터페이스 보호: 외부에서 NetScaler 관리 페이지에 접근하지 못하도록 방화벽 등으로 차단해야 합니다.
  • 세션 무효화 및 비밀번호 재설정: 관리자 세션을 초기화하고 비밀번호를 변경해 유출 가능성에 대비합니다.
  • 로그 분석 및 이상 탐지: HTTP 로그와 네트워크 트래픽을 분석해 비정상 요청을 탐지하고, ASM·SIEM 연계를 통해 모니터링을 강화합니다.

결론

CVE-2025-5777은 Citrix NetScaler 장비를 사용하는 조직이라면 반드시 대응해야 하는 고위험 취약점이다. 특히 PoC 공개 이후 공격자들의 대규모 스캐닝이 현실화되고 있는 지금, 사전 점검과 선제 대응이 무엇보다 중요하다.

Criminal IP Search 및 ASM 기능을 활용해 노출된 NetScaler 자산을 조기에 탐지하고, 최신 보안 패치 적용 및 세션 무효화를 통해 공격 피해를 방지할 수 있다.

데이터 출처 : Criminal IP (https://www.criminalip.io/ko)

관련 글 : https://www.criminalip.io/ko/knowledge-hub/blog/25711