팔로알토 네트웍스 방화벽에서 발견된 제로데이 취약점... 국내 기업 피해 우려

2024-04-15 18:12
  • 카카오톡
  • 네이버 블로그
  • url
팔로알토 방화벽에서 구동되는 PAN-OS 소프트웨어에서 제로데이 취약점 발견
10점으로 최대 치명도...팔로알토 방화벽의 GlobalProtect VPN 기능 활성화돼 있다면 공격 대상
인증되지 않은 공격자가 방화벽에서 루트 권한 가진 임의 코드 실행할 수 있어


[보안뉴스 김경애 기자] 글로벌 보안기업 팔로알토 네트웍스(Palo Alto Networks)의 방화벽에서 치명적인 제로데이 취약점이 발견됐다. 이른바 긴급 패치인 핫픽스를 발표했지만, 오는 19일까지 패치될 예정인 제품 및 버전도 있다. 따라서 모든 버전에서 패치가 제공되기까지는 시간이 소요돼 이용자들의 각별한 주의가 요구된다.


▲팔로알토 네트웍스가 지난 12일 발표한 CVE-2024-3400 취약점 이슈 및 긴급 업데이트 소식[이미지=팔로알토 네트웍스]

팔로알토 네트웍스 측은 “VPN인 GlobalProtect 게이트웨이에 사용되는 PAN-OS 소프트웨어에 치명적인 영향을 미치는 중대한 결함이 발견됐다”며 “해당 결함이 악용되고 있다”고 경고했다.

이어 팔로알토 네트웍스는 “특정 PAN-OS 버전과 고유한 기능 구성에 대한 팔로알토 네트웍스 PAN-OS 소프트웨어 GlobalProtect 기능의 명령 주입 취약점에 기인한 것”이라고 분석했다.

발견된 제로데이 취약점은 팔로알토 네트웍스 방화벽에서 구동되는 PAN-OS 소프트웨어에서 발견된 취약점이다. CVE-2024-3400으로 취약점 위험도 척도를 나타내는 CVSS 점수가 10.0으로 최대 심각도를 나타내고 있다.

영향을 받는 제품 및 버전은 △Cloud NGFW, △PAN-OS 11.1, △PAN-OS 11.0, △PAN-OS 10.2, △PAN-OS 10.1, △PAN-OS 10.0, △PAN-OS 9.1, △PAN-OS 9.0, △Prisma Access이다.

이에 대해 팔로알토 네트웍스는 GlobalProtect 게이트웨이(Network) > GlobalProtect > Gateways(GlobalProtect > Gateways) 및 장치 원격 측정(Device > Setup > Telemetry) 구성이 모두 활성화된 방화벽에만 적용할 수 있다고 회사 측은 밝혔다. 즉 팔로알토 방화벽의 GlobalProtect VPN 기능이 활성화돼 있다면 공격 대상이 된다는 얘기다.

이번 취약점 악용과 관련해 팔로알토 네트웍스 측은 “해당 취약점을 악용하는 공격이 있었다는 것을 인식하고 있다”고 인정했다.

이에 대한 해결책으로 팔로알토 네트웍스는 “이 문제는 PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 및 모든 이후 버전의 핫픽스 릴리스에서 해결됐다”며 “일반적으로 배포되는 다른 유지보수 릴리스의 핫픽스도 이 문제를 해결하기 위해 제공된다”며 다가오는 핫픽스의 ETA에 대한 자세한 내용을 참조할 것을 당부했다.


▲팔로알토 네트웍스가 발표한 지난 14일부터 오는 19일까지 패치 적용될 제품 및 버전 리스트[이미지=팔로알토 네트웍스]

리니어리티 한승연 대표는 “이전에도 포티넷, 이반티, F5, 시스코, Pulse 등 다양한 네트워크 관련 솔루션에서 여러 취약점이 발견된 바 있다”며 “APT 공격 흐름이 네트워크 등 장비 취약점으로 변화하고 있다는데 주목해야 한다”고 주목했다.

이어 한 대표는 “방화벽과 같은 네트워크 접점 솔루션에서 권한이 탈취됐을 때, 이를 어떻게 탐지하고 대응할 것인가에 대해 고민해야 한다”며 “네트워크 관리포트의 외부 접근을 최소화하는 등 기본적인 보안조치를 수행하는 한편, 보안관제 범위에 네트워크 장비의 audit 로그를 포함하면 좋을 것 같다”고 밝혔다.

익명을 요청한 네트워크 보안 전문가는 “취약점에 대해 각 제조사는 기본적인 측면을 항상 철저하게 검증해야 한다”며 “CVE-2024-3400은 단순 데이터 검증 유효성이 누락되어 발생하는 코드실행 취약점으로 입력값에 대한 사전 점검이 미리 수행됐다면 예방할 수 있는 취약점으로 판단된다”고 밝혔다.

이어 그는 “점검에서 잡지 못한 취약 요소는 큰 위험으로 돌아올 수 있기 때문에 작은 요소라도 면밀히 점검하고 검증해야 한다”며 “해당 제품의 사용자는 해당 기능을 비활성화해야 한다”고 강조했다.

현재 팔로알토 네트웍스 방화벽을 사용하는 기업이 많아 국내 피해도 우려되는 상황이다. 이와 관련 한국인터넷진흥원 이창용 팀장은 “현재까지 국내 피해 사례가 아직 신고된 경우은 없지만 팔로알토에서 일부 침해사고에 악용된 취약점이라고 밝히고 있어 신속한 패치 적용이 필요하다”며 “해당 취약점은 아직 CISA에서 위험도 최종 산정이 되지 않았으나, 팔로알토에서 위험도 10점(Critical) 취약점으로 등록했다”고 우려했다. 이어 “한국인터넷진흥원에서도 현재 해당이슈에 대해 보안 공지를 준비 중”이라며 “신속하게 공지할 것”이라고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 엔토스정보통신

    • 비전정보통신

    • 경인씨엔에스

    • (주)우경정보기술

    • 투윈스컴

    • 디비시스

    • 다후아테크놀로지코리아

    • 트루엔

    • 동양유니텍

    • 세연테크

    • 위트콘

    • 이오씨

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 포엠아이텍

    • 티에스아이솔루션

    • 넥스트림

    • 안랩

    • 데이티스바넷

    • 시큐어링크

    • 지란지교데이터

    • 삼오씨엔에스

    • 위즈코리아

    • 피앤피시큐어

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 앤디코

    • 케이제이테크

    • 알에프코리아

    • 사라다

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 유투에스알

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 미래시그널

    • 두레옵트로닉스

    • 엘림광통신

    • 에스에스티랩

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 보문테크닉스

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 신화시스템

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기