팔로알토 방화벽에서 구동되는 PAN-OS 소프트웨어에서 제로데이 취약점 발견
10점으로 최대 치명도...팔로알토 방화벽의 GlobalProtect VPN 기능 활성화돼 있다면 공격 대상
인증되지 않은 공격자가 방화벽에서 루트 권한 가진 임의 코드 실행할 수 있어
[보안뉴스 김경애 기자] 글로벌 보안기업 팔로알토 네트웍스(Palo Alto Networks)의 방화벽에서 치명적인 제로데이 취약점이 발견됐다. 이른바 긴급 패치인 핫픽스를 발표했지만, 오는 19일까지 패치될 예정인 제품 및 버전도 있다. 따라서 모든 버전에서 패치가 제공되기까지는 시간이 소요돼 이용자들의 각별한 주의가 요구된다.
▲팔로알토 네트웍스가 지난 12일 발표한 CVE-2024-3400 취약점 이슈 및 긴급 업데이트 소식[이미지=팔로알토 네트웍스]
팔로알토 네트웍스 측은 “VPN인 GlobalProtect 게이트웨이에 사용되는 PAN-OS 소프트웨어에 치명적인 영향을 미치는 중대한 결함이 발견됐다”며 “해당 결함이 악용되고 있다”고 경고했다.
이어 팔로알토 네트웍스는 “특정 PAN-OS 버전과 고유한 기능 구성에 대한 팔로알토 네트웍스 PAN-OS 소프트웨어 GlobalProtect 기능의 명령 주입 취약점에 기인한 것”이라고 분석했다.
발견된 제로데이 취약점은 팔로알토 네트웍스 방화벽에서 구동되는 PAN-OS 소프트웨어에서 발견된 취약점이다. CVE-2024-3400으로 취약점 위험도 척도를 나타내는 CVSS 점수가 10.0으로 최대 심각도를 나타내고 있다.
영향을 받는 제품 및 버전은 △Cloud NGFW, △PAN-OS 11.1, △PAN-OS 11.0, △PAN-OS 10.2, △PAN-OS 10.1, △PAN-OS 10.0, △PAN-OS 9.1, △PAN-OS 9.0, △Prisma Access이다.
이에 대해 팔로알토 네트웍스는 GlobalProtect 게이트웨이(Network) > GlobalProtect > Gateways(GlobalProtect > Gateways) 및 장치 원격 측정(Device > Setup > Telemetry) 구성이 모두 활성화된 방화벽에만 적용할 수 있다고 회사 측은 밝혔다. 즉 팔로알토 방화벽의 GlobalProtect VPN 기능이 활성화돼 있다면 공격 대상이 된다는 얘기다.
이번 취약점 악용과 관련해 팔로알토 네트웍스 측은 “해당 취약점을 악용하는 공격이 있었다는 것을 인식하고 있다”고 인정했다.
이에 대한 해결책으로 팔로알토 네트웍스는 “이 문제는 PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 및 모든 이후 버전의 핫픽스 릴리스에서 해결됐다”며 “일반적으로 배포되는 다른 유지보수 릴리스의 핫픽스도 이 문제를 해결하기 위해 제공된다”며 다가오는 핫픽스의 ETA에 대한 자세한 내용을 참조할 것을 당부했다.
▲팔로알토 네트웍스가 발표한 지난 14일부터 오는 19일까지 패치 적용될 제품 및 버전 리스트[이미지=팔로알토 네트웍스]
리니어리티 한승연 대표는 “이전에도 포티넷, 이반티, F5, 시스코, Pulse 등 다양한 네트워크 관련 솔루션에서 여러 취약점이 발견된 바 있다”며 “APT 공격 흐름이 네트워크 등 장비 취약점으로 변화하고 있다는데 주목해야 한다”고 주목했다.
이어 한 대표는 “방화벽과 같은 네트워크 접점 솔루션에서 권한이 탈취됐을 때, 이를 어떻게 탐지하고 대응할 것인가에 대해 고민해야 한다”며 “네트워크 관리포트의 외부 접근을 최소화하는 등 기본적인 보안조치를 수행하는 한편, 보안관제 범위에 네트워크 장비의 audit 로그를 포함하면 좋을 것 같다”고 밝혔다.
익명을 요청한 네트워크 보안 전문가는 “취약점에 대해 각 제조사는 기본적인 측면을 항상 철저하게 검증해야 한다”며 “CVE-2024-3400은 단순 데이터 검증 유효성이 누락되어 발생하는 코드실행 취약점으로 입력값에 대한 사전 점검이 미리 수행됐다면 예방할 수 있는 취약점으로 판단된다”고 밝혔다.
이어 그는 “점검에서 잡지 못한 취약 요소는 큰 위험으로 돌아올 수 있기 때문에 작은 요소라도 면밀히 점검하고 검증해야 한다”며 “해당 제품의 사용자는 해당 기능을 비활성화해야 한다”고 강조했다.
현재 팔로알토 네트웍스 방화벽을 사용하는 기업이 많아 국내 피해도 우려되는 상황이다. 이와 관련 한국인터넷진흥원 이창용 팀장은 “현재까지 국내 피해 사례가 아직 신고된 경우은 없지만 팔로알토에서 일부 침해사고에 악용된 취약점이라고 밝히고 있어 신속한 패치 적용이 필요하다”며 “해당 취약점은 아직 CISA에서 위험도 최종 산정이 되지 않았으나, 팔로알토에서 위험도 10점(Critical) 취약점으로 등록했다”고 우려했다. 이어 “한국인터넷진흥원에서도 현재 해당이슈에 대해 보안 공지를 준비 중”이라며 “신속하게 공지할 것”이라고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
10점으로 최대 치명도...팔로알토 방화벽의 GlobalProtect VPN 기능 활성화돼 있다면 공격 대상
인증되지 않은 공격자가 방화벽에서 루트 권한 가진 임의 코드 실행할 수 있어
[보안뉴스 김경애 기자] 글로벌 보안기업 팔로알토 네트웍스(Palo Alto Networks)의 방화벽에서 치명적인 제로데이 취약점이 발견됐다. 이른바 긴급 패치인 핫픽스를 발표했지만, 오는 19일까지 패치될 예정인 제품 및 버전도 있다. 따라서 모든 버전에서 패치가 제공되기까지는 시간이 소요돼 이용자들의 각별한 주의가 요구된다.
▲팔로알토 네트웍스가 지난 12일 발표한 CVE-2024-3400 취약점 이슈 및 긴급 업데이트 소식[이미지=팔로알토 네트웍스]
팔로알토 네트웍스 측은 “VPN인 GlobalProtect 게이트웨이에 사용되는 PAN-OS 소프트웨어에 치명적인 영향을 미치는 중대한 결함이 발견됐다”며 “해당 결함이 악용되고 있다”고 경고했다.
이어 팔로알토 네트웍스는 “특정 PAN-OS 버전과 고유한 기능 구성에 대한 팔로알토 네트웍스 PAN-OS 소프트웨어 GlobalProtect 기능의 명령 주입 취약점에 기인한 것”이라고 분석했다.
발견된 제로데이 취약점은 팔로알토 네트웍스 방화벽에서 구동되는 PAN-OS 소프트웨어에서 발견된 취약점이다. CVE-2024-3400으로 취약점 위험도 척도를 나타내는 CVSS 점수가 10.0으로 최대 심각도를 나타내고 있다.
영향을 받는 제품 및 버전은 △Cloud NGFW, △PAN-OS 11.1, △PAN-OS 11.0, △PAN-OS 10.2, △PAN-OS 10.1, △PAN-OS 10.0, △PAN-OS 9.1, △PAN-OS 9.0, △Prisma Access이다.
이에 대해 팔로알토 네트웍스는 GlobalProtect 게이트웨이(Network) > GlobalProtect > Gateways(GlobalProtect > Gateways) 및 장치 원격 측정(Device > Setup > Telemetry) 구성이 모두 활성화된 방화벽에만 적용할 수 있다고 회사 측은 밝혔다. 즉 팔로알토 방화벽의 GlobalProtect VPN 기능이 활성화돼 있다면 공격 대상이 된다는 얘기다.
이번 취약점 악용과 관련해 팔로알토 네트웍스 측은 “해당 취약점을 악용하는 공격이 있었다는 것을 인식하고 있다”고 인정했다.
이에 대한 해결책으로 팔로알토 네트웍스는 “이 문제는 PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 및 모든 이후 버전의 핫픽스 릴리스에서 해결됐다”며 “일반적으로 배포되는 다른 유지보수 릴리스의 핫픽스도 이 문제를 해결하기 위해 제공된다”며 다가오는 핫픽스의 ETA에 대한 자세한 내용을 참조할 것을 당부했다.
▲팔로알토 네트웍스가 발표한 지난 14일부터 오는 19일까지 패치 적용될 제품 및 버전 리스트[이미지=팔로알토 네트웍스]
리니어리티 한승연 대표는 “이전에도 포티넷, 이반티, F5, 시스코, Pulse 등 다양한 네트워크 관련 솔루션에서 여러 취약점이 발견된 바 있다”며 “APT 공격 흐름이 네트워크 등 장비 취약점으로 변화하고 있다는데 주목해야 한다”고 주목했다.
이어 한 대표는 “방화벽과 같은 네트워크 접점 솔루션에서 권한이 탈취됐을 때, 이를 어떻게 탐지하고 대응할 것인가에 대해 고민해야 한다”며 “네트워크 관리포트의 외부 접근을 최소화하는 등 기본적인 보안조치를 수행하는 한편, 보안관제 범위에 네트워크 장비의 audit 로그를 포함하면 좋을 것 같다”고 밝혔다.
익명을 요청한 네트워크 보안 전문가는 “취약점에 대해 각 제조사는 기본적인 측면을 항상 철저하게 검증해야 한다”며 “CVE-2024-3400은 단순 데이터 검증 유효성이 누락되어 발생하는 코드실행 취약점으로 입력값에 대한 사전 점검이 미리 수행됐다면 예방할 수 있는 취약점으로 판단된다”고 밝혔다.
이어 그는 “점검에서 잡지 못한 취약 요소는 큰 위험으로 돌아올 수 있기 때문에 작은 요소라도 면밀히 점검하고 검증해야 한다”며 “해당 제품의 사용자는 해당 기능을 비활성화해야 한다”고 강조했다.
현재 팔로알토 네트웍스 방화벽을 사용하는 기업이 많아 국내 피해도 우려되는 상황이다. 이와 관련 한국인터넷진흥원 이창용 팀장은 “현재까지 국내 피해 사례가 아직 신고된 경우은 없지만 팔로알토에서 일부 침해사고에 악용된 취약점이라고 밝히고 있어 신속한 패치 적용이 필요하다”며 “해당 취약점은 아직 CISA에서 위험도 최종 산정이 되지 않았으나, 팔로알토에서 위험도 10점(Critical) 취약점으로 등록했다”고 우려했다. 이어 “한국인터넷진흥원에서도 현재 해당이슈에 대해 보안 공지를 준비 중”이라며 “신속하게 공지할 것”이라고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
