최근 팔로알토 네트웍스(Palo Alto Networks)의 방화벽에서 두 가지 제로데이 취약점이 악용되어 전 세계적으로 약 2,000대 이상의 장치가 해킹당하는 사건이 발생했다. 이번 사건은 PAN-OS 관리 웹 인터페이스의 인증 우회 취약점(CVE-2024-0012)과 권한 상승 취약점(CVE-2024-9474)을 조합해 공격이 이루어진 것으로 나타났다.
CVE-2024-0012는 PAN-OS 관리 웹 인터페이스의 인증 우회 취약점으로, 공격자가 네트워크 접근을 통해 관리자 권한을 획득할 수 있는 심각한 취약점이다. 이를 통해 공격자는 방화벽 설정을 조작하거나 민감한 데이터를 탈취할 수 있다. 팔로알토 네트웍스는 지난 2024년 11월 8일 이 취약점을 공개하고, 고객들에게 관리 인터페이스 접근을 제한할 것을 권고했다.
CVE-2024-9474는 중간 수준의 권한 상승 취약점으로, 인증된 관리자가 방화벽에서 루트(root) 권한으로 명령을 실행할 수 있는 문제다. 이 취약점은 2024년 11월 18일에 공개됐다.
공격자는 이 두 가지 취약점을 연계해 방화벽을 완전히 장악할 수 있었다. 팔로알토 네트웍스의 보안팀인 유닛42(Unit 42)는 이러한 공격 활동을 "오퍼레이션 루나 피크(Operation Lunar Peek)"로 명명하고, 공격자들이 PHP 기반 웹 쉘(web shell)과 같은 악성코드를 설치하며, 장치에 명령을 실행하고 있다고 밝혔다.
섀도서버 재단(Shadowserver Foundation)에 따르면, 현재 약 2,700대의 PAN-OS 장치가 취약점에 노출되어 있으며, 이 중 2,000대가 이미 공격당한 것으로 확인됐다. 특히 피해 장치들은 미국과 인도에 집중된 것으로 나타났다.
팔로알토네트웍스는 두 취약점을 해결하기 위한 보안 패치를 배포했으며, 고객들에게 PAN-OS 소프트웨어를 최신 버전으로 업데이트할 것을 강력히 권고했다. 또한, 관리 웹 인터페이스의 접근을 신뢰할 수 있는 내부 IP로 제한해 노출을 최소화할 것을 추천했다.
미국 사이버보안 및 인프라 보안국(CISA)은 이번 취약점을 "알려진 취약점 목록(Known Exploited Vulnerabilities Catalog)"에 추가하고, 연방 기관들에게 2024년 12월 9일까지 방화벽 패치를 완료할 것을 지시했다.
보안 전문가들은 보안 패치를 신속히 적용하고, 네트워크 보안 모범 사례를 따르는 것이 중요하다고 강조했다. 특히 다음과 같은 조치를 권장했다.
-접근 제한: 관리 인터페이스에 대한 접근을 신뢰할 수 있는 내부 네트워크로 제한.
-시스템 모니터링: 의심스러운 활동을 실시간으로 감지하고 대응하기 위한 지속적인 모니터링.
-관리자 교육: 시스템 관리자들이 최신 보안 권고 사항을 숙지하고, 신속한 업데이트의 중요성을 이해하도록 교육.
신속한 조치를 통해 조직은 보안 태세를 강화하고 유사한 사고의 위험을 줄일 수 있다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
