팔로알토 네트웍스(Palo Alto Networks)가 자사의 차세대 방화벽(Next-Generation Firewalls, NGFW)에서 발견된 두 가지 제로데이 취약점에 대해 보안 업데이트를 발표했다. 이 취약점들은 현재 공격에 악용되고 있어 긴급한 조치가 요구된다.

첫 번째 취약점인 CVE-2024-0012는 PAN-OS 관리 웹 인터페이스의 인증 우회(auth bypass) 문제로, 공격자가 인증이나 사용자 상호작용 없이 관리자 권한을 얻을 수 있도록 한다. 이를 통해 방화벽 설정에 무단 접근 및 제어가 가능하다.

두 번째 취약점인 CVE-2024-9474는 PAN-OS의 권한 상승(privilege escalation) 문제다. 이 취약점은 악의적인 관리자가 루트(root) 권한으로 방화벽에서 명령을 실행할 수 있게 해 시스템의 무결성과 보안성을 위협할 수 있다.

팔로알토 네트웍스는 11월 8일 고객들에게 이러한 취약점이 악용될 가능성이 있음을 경고하며 방화벽 접근 제한을 권고했다. 이후 11월 18일, 인터넷에 노출된 일부 관리 웹 인터페이스를 대상으로 한 공격 활동을 확인했다고 발표했다. 회사는 영향을 받는 기기를 식별하고 위험을 최소화하기 위해 고객들과 적극적으로 협력 중이라고 밝혔다.

회사는 이번 취약점이 "매우 적은 수의 방화벽"에만 영향을 준다고 주장했지만, 외부 보고서는 더 광범위한 노출 가능성을 제기했다. 위협 모니터링 플랫폼인 섀도우서버(Shadowserver)는 8,700개 이상의 PAN-OS 관리 인터페이스가 노출된 상태임을 확인했다고 전했다. 또한, 위협 연구원 세지야마 유타카(Yutaka Sejiyama)는 11,000개 이상의 IP 주소가 노출된 상태이며, 가장 많은 기기가 미국에 집중되어 있고 그다음이 인도, 멕시코, 태국, 인도네시아라고 밝혔다. 물론 한국 사용자들도 각별히 주의해야 한다. 

미국 사이버보안 및 인프라 보안국(CISA)은 이번 취약점을 "알려진 악용 취약점 목록(Known Exploited Vulnerabilities Catalog)"에 추가하고, 연방 기관에 12월 9일까지 시스템 패치를 완료할 것을 지시했다. CISA는 이번 취약점들이 악의적인 사이버 행위자들이 자주 사용하는 공격 벡터이며 연방 기관에 중대한 위험을 초래할 수 있다고 경고했다.

전문가들은 팔로알토 네트웍스의 방화벽을 사용하는 조직들에게 즉시 보안 패치를 적용할 것을 권고했다. 또한 관리 인터페이스에 대한 접근을 제한하고, 다중 인증(MFA)을 구현하며, 이상 활동을 지속적으로 모니터링해야 한다고 강조했다. 아울러, 팔로알토 네트웍스 및 기타 사이버보안 기관에서 발표하는 추가적인 업데이트와 권고 사항을 면밀히 확인해야 한다고 강조했다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★