소닉월(SonicWall)의 방화벽 소프트웨어에서 발견된 심각한 취약점이 실제 공격에 악용되고 있어, 소닉월은 즉각적인 패치 적용을 권고했다. CVE-2024-40766으로 알려진 이 취약점은 여러 소닉월 방화벽 모델에 영향을 미치며, 네트워크 자원에 무단 접근을 허용하거나 방화벽을 충돌시켜 네트워크 보호 기능을 무력화할 수 있다.
이 취약점은 CVSS v3 기준으로 9.3이라는 높은 심각도 점수를 받았으며, 소닉월 Firewall Gen 5, Gen 6, 그리고 일부 Gen 7 장비에 영향을 미친다. 2024년 8월 22일에 처음 공개되었을 당시, 이 취약점은 소닉월의 SonicOS 관리 액세스 기능에만 영향을 미치는 것으로 알려졌으나, 최근 업데이트에서는 SSLVPN 기능에도 영향을 미친다는 경고가 추가되었다.
SSLVPN은 원격으로 기업 네트워크에 접속할 수 있게 해주는 기술로, 사이버 범죄자들이 주로 노리는 대상이다. CVE-2024-40766 취약점의 악용은 공격자가 인증 절차를 우회해 민감한 자원에 접근하거나 방화벽을 충돌시켜 네트워크 보호 기능을 무력화할 수 있는 위험을 초래한다. 방화벽 충돌은 네트워크 전반에 걸쳐 더 큰 침입 가능성을 열어두는 심각한 보안 공백을 만들 수 있다.
소닉월은 이 취약점이 어떻게 악용되고 있는지 구체적인 정보를 제공하지 않았지만, 이를 심각하게 받아들여야 한다고 경고했다. 최근 Arctic Wolf의 보고서에 따르면 아키라(Akira) 랜섬웨어 조직이 이 취약점을 활용해 표적 네트워크를 공격하고 있는 것으로 알려졌다.
이 취약점은 다음과 같은 장비와 버전에 영향을 미친다:
▲소닉월 Gen 5: SonicOS 버전 5.9.2.14-12o 및 이전 버전 – SonicOS 버전 5.9.2.14-13o에서 수정됨.
▲소닉월 Gen 6: SonicOS 버전 6.5.4.14-109n 및 이전 버전 – 특정 모델(SM9800, NSsp 12400, NSsp 12800)은 버전 6.5.2.8-2n에서 수정되었고, 다른 Gen 6 방화벽은 6.5.4.15-116n에서 수정됨.
▲소닉월 Gen 7: SonicOS 버전 7.0.1-5035 및 이전 버전 – 버전 7.0.1-5035 및 이후 버전에서는 재현되지 않음.
▲소닉월은 관리자들에게 즉시 패치를 적용할 것을 권고했으며, 필요한 패치 빌드는 소닉월 공식 고객 포털인 mysonicwall.com에서 다운로드할 수 있다.
소닉월은 패치 적용 외에도 다음과 같은 여러 보안 조치를 권장했다:
▲방화벽 관리 액세스 제한: 관리 액세스를 신뢰할 수 있는 내부 소스에만 제한하고, 가능하다면 WAN 관리 포털에 대한 인터넷 액세스를 차단할 것을 권장함.
▲SSLVPN 액세스 제한: SSLVPN 액세스를 신뢰할 수 있는 소스에만 제한하거나, 사용하지 않는 경우 기능을 완전히 비활성화할 것을 권장함.
▲SSLVPN 사용자 비밀번호 보안: Gen 5 및 Gen 6 펌웨어를 사용하는 장치에서는 모든 로컬 SSLVPN 사용자에 대해 비밀번호 변경을 강제하고, "사용자가 비밀번호를 변경해야 함" 옵션을 활성화할 것을 권장함.
▲다중 인증(MFA) 활성화: 모든 SSLVPN 사용자에 대해 TOTP(시간 기반 일회용 비밀번호) 또는 이메일 기반 OTP를 사용한 다중 인증을 활성화하는 것이 중요함. 다중 인증 구성에 대한 가이드는 소닉월 지원 포털에서 제공됨.
소닉월 방화벽은 원격 접속을 제공하는 장비로 널리 사용되기 때문에 사이버 범죄자들의 주요 타겟이 되어왔다. 2023년 3월, 중국 해킹 조직으로 의심되는 UNC4540은 패치되지 않은 소닉월 보안 모바일 액세스(SMA) 장비를 공격해 펌웨어 업그레이드 후에도 지속되는 악성코드를 설치한 바 있다.
전문가들은 과거에도 유사한 접근 제어 취약점이 기업 네트워크에 초기 접근 지점으로 사용되었다고 지적했다. 공격자는 이러한 취약점을 악용해 악성코드를 심거나 네트워크 내부를 가로지르며 중요한 데이터를 탈취할 수 있다.
사이버 보안 전문가들은 CVE-2024-40766의 악용을 방지하기 위해 가장 먼저 패치를 적용하는 것이 최선의 방어라고 강조했다. 또한 네트워크의 회복력을 보장하기 위한 장기적인 전략으로 네트워크 분할을 통해 방화벽 침해 시 영향을 최소화하고, 정기적인 취약점 스캐닝을 통해 잠재적인 약점을 조기에 발견할 것을 권장했다.
쉴드포스 시큐리티 네트워크 보안 전문가 제레미 골드스타인은 "SSLVPN을 인터넷에 열어두고 다중 인증을 적용하지 않는 것은 집 문을 열어두는 것과 같다. SSLVPN이 필요 없다면 아예 비활성화하고, 반드시 필요한 경우에는 다중 인증을 적용하고 비밀번호를 정기적으로 변경해야 한다"고 경고했다.
패치를 적용하고 소닉월의 지침을 따르는 것이 가장 시급한 조치이지만, 전문가들은 암호화 세션 관리 또는 통합 침입 탐지 시스템과 같은 더 강력한 내장 보안 제어 기능을 제공하는 대체 VPN 솔루션을 검토할 것도 제안했다. 또한, 침해 발생 시 피해를 최소화하기 위한 강력한 대응 계획을 마련하는 것도 중요하다고 강조했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★