최근 사이버 보안 연구원들이 전 세계 17만8천개 이상의 소닉월(SonicWall) 차세대 방화벽(NGFW)에 영향을 미치는 심각한 보안 위협을 발견했다. 이 취약점으로 인해 잠재적인 원격 코드 실행(RCE) 및 서비스 거부(DoS) 공격에 노출될 수 있는 상황이다. 국내 사용 조직들의 각별한 주의가 요구된다.

이번 소닉월 방화벽 취약점은 CVE-2022-22274 및 CVE-2023-0656 등 두 가지 취약점이다. 이 두 가지 취약점은 코딩 문제에서 비롯된 것이지만 서로 다른 HTTP URI 경로를 통해 악용될 수 있다.

보안 연구원들은 BinaryEdge의 데이터를 사용해 관리 인터페이스가 노출된 소닉월 방화벽의 무려 76%(총 233,984개 장치 중 178,637개)가 이러한 취약점 중 하나 또는 둘 다에 취약하다는 사실을 발견했다. 이 보안 위험의 엄청난 규모는 조직과 관리자가 즉각적인 조치를 취해야 하는 시급한 상황이다.

CVE-2022-22274 취약점은 방화벽을 DoS 공격에 노출시킬 뿐만 아니라 잠재적인 원격 코드 실행에 악용될 수 있다. 공격자는 이 취약점을 악용해 영향을 받는 디바이스의 보안과 무결성을 손상시킬 수 있다.

CVE-2023-0656 취약점은 CVE-2022-22274와 동일하지만, 이 취약점은 다른 HTTP URI 경로에서 나타나 공격 표면이 확장된다.

공격자가 표적이 된 디바이스에서 코드를 실행할 수 없더라도 이 취약점을 악용해 디바이스를 유지 관리 모드로 강제 전환할 수 있다. 이로 인해 정상적인 기능이 중단되어 서비스를 복원하기 위해 관리자의 개입이 필요할 수 있다. 현재 50만개 이상 소닉월 방화벽이 온라인에 노출되어 있다.

소닉월 제품 보안 사고 대응팀(PSIRT)은 이러한 취약점이 현실 공격에서 악용되고 있다는 사실을 알지 못한다고 주장하지만, 온라인에서 CVE-2022-22274에 대한 개념 증명(PoC) 익스플로잇이 최소 한 건 이상 존재하고 있어 각별한 주의가 필요하다.

사용 기관들은 관리 인터페이스가 온라인에 노출되지 않도록 해야 한다. 관리자는 인터넷에서 SonicWall NGFW 어플라이언스의 관리 인터페이스에 액세스할 수 없는지 확인해야 한다.

그리고 최신 펌웨어로 업데이트해야 한다. 소닉월 방화벽을 사용하는 조직은 최신 펌웨어 버전을 설치하기 위해 업데이트 프로세스를 신속히 진행해야 한다.

예전에 사이버 스파이 활동과 랜섬웨어 공격 사례로 인해 소닉월은 사이버 위협의 표적이 된 바 있다. 전 세계 50만 개 이상이 사용하고 있는 이 제품이 이번 취약점은 치명적일 수 있어 긴급하게 보호조치를 취해야 한다.

조직과 보안관리자는 이러한 취약점을 즉시 해결하고, 관리 인터페이스를 보호하고, 역동적인 사이버 보안 환경에서 새로운 위협에 대한 경계를 유지시키는 등 네트워크 인프라 보안을 강화해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★