시트릭스가 8월 26일 넷스케일러 ADC와 넷스케일러 게이트웨이 제품의 신규 취약점 3건을 수정하는 보안 업데이트를 발표했다. 이 가운데 하나인 CVE-2025-7775는 이미 실제 공격에서 악용되고 있는 것으로 확인됐다. 시트릭스는 이번 문제에 대해 별도의 완화책이 없으며 반드시 최신 버전으로 업그레이드해야 한다고 강조했다.
CVE-2025-7775는 메모리 오버플로우 취약점으로 인증 없이 원격 코드 실행(RCE)이나 서비스 거부(DoS)를 유발할 수 있다. 시트릭스는 이 취약점이 미패치 장비에서 실제로 악용되는 사례가 관찰됐다고 밝혔다. 함께 패치된 CVE-2025-7776은 또 다른 메모리 오버플로우로, 예측 불가능한 동작이나 서비스 거부를 일으킬 수 있다. CVE-2025-8424는 관리 인터페이스에서의 접근 제어가 미흡해 공격자가 시스템을 무단으로 다룰 수 있는 문제다.
시트릭스는 각 취약점이 악용되기 위한 구체적인 조건을 공개했다. CVE-2025-7775는 게이트웨이(VPN/ICA Proxy/CVPN/RDP Proxy) 또는 AAA 가상 서버로 설정된 경우, IPv6 서비스가 바인딩된 HTTP/SSL/HTTP_QUIC 로드밸런서 v서버, IPv6 DNS 기반 서비스가 바인딩된 경우, 또는 HDX 타입의 캐시 리디렉션(CR) v서버에서 발생할 수 있다. CVE-2025-7776은 게이트웨이 v서버에 PCoIP 프로파일이 적용돼 있을 때 문제가 발생한다. CVE-2025-8424는 NSIP, 클러스터 관리 IP, 로컬 GSLB 사이트 IP, SNIP에 관리 접근이 가능한 경우 위험하다.
보안 패치는 다음 버전 이상에서 적용된다. ▲14.1-47.48 ▲13.1-59.22 ▲13.1-FIPS/NDcPP 13.1-37.241 ▲12.1-FIPS/NDcPP 12.1-55.330. 이번 문제는 우회 방법이 존재하지 않아 반드시 업그레이드가 필요하다. 영국 NHS 국가사이버보안센터는 이번 취약점의 위험도를 ‘높음(High)’으로 평가하며 추가 악용 가능성이 높다고 경고했다. 또 13.0과 12.1 표준 버전은 지원 종료(EoL) 상태로 패치를 받을 수 없어, 즉시 지원되는 버전으로 마이그레이션해야 한다고 강조했다.
보안 업계는 넷스케일러 제품군에서 최근 몇 달 사이 심각한 취약점이 연이어 보고되고 있다는 점에 주목하고 있다. 불과 올여름에도 CVE-2025-5777(일명 시트릭스 블리드 2)과 CVE-2025-6543이 공개돼 전 세계 기업을 위협했다. 보안업체 분석에 따르면 현재 인터넷에 노출된 넷스케일러 장비는 약 1만 4천 대에 달해 추가적인 공격 위험이 상존한다.
시트릭스는 관리자가 장비 설정 파일(ns.conf)을 점검해 AAA/게이트웨이 v서버, IPv6 기반 로드밸런서, PCoIP 프로파일 적용 여부 등을 확인하고, 해당 조건이 존재한다면 우선적으로 패치를 적용할 것을 권고했다. 또한 NSIP와 클러스터 관리 IP는 인터넷에 노출하지 말고, 접근을 IAM이나 ACL로 제한하며, 로컬 인증은 비활성화할 것을 당부했다.
보안 전문가들은 이번 취약점에 대해 “우회 방법이 전혀 없고 실제 공격이 확인됐기 때문에 패치가 최우선”이라고 지적했다. 패치 후에는 게이트웨이 및 IPv6 기반 로드밸런서의 동작 상태를 꼼꼼히 확인하고, 익명 접속 시도나 비정상적인 트래픽 로그를 주의 깊게 살펴야 한다고 강조했다. 또, 지원이 종료된 구버전을 사용하는 기업은 장비 교체나 마이그레이션을 반드시 계획해야 하며, 임시로는 웹 방화벽이나 침입방지시스템(IPS) 등 네트워크 보안 장비로 노출 영역을 줄이는 방법이 대안이 될 수 있다고 조언했다.
[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]
(제13회 KCSCON 2025 / 구 PASCON)
※ Korea Cyber Security Conference 2025
-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-
공공∙기업 정보보안 책임자/실무자 1,200여명 참석!
-2025년 하반기 최대 정보보호 컨퍼런스&전시회-
△주최: 데일리시큐
△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회
△일시: 2025년 9월 16일 화요일(오전9시~오후5시)
△장소: 세종대 컨벤션센터 전관
△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업
개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명
(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)
*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.
△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)
△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정
△사전등록 필수: 클릭
(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.
참석확정 문자와 메일 받은 분만 참석 가능)
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
