사이버 보안 기업 팔로알토 네트웍스(Palo Alto Networks)가 자사의 차세대 방화벽 시스템의 PAN-OS 관리 인터페이스에서 발생할 수 있는 원격 코드 실행(RCE) 취약점에 대해 고객들에게 주의를 당부했다. 팔로알토 네트웍스는 최근 발표한 보안 권고문에서 아직 구체적인 공격 징후는 없지만, 사용자가 방화벽 관리 인터페이스의 접근을 제한하도록 권고했다.
팔로알토 네트웍스는 현재 이 취약점과 관련된 구체적인 세부 사항은 확인되지 않았지만, 적극적으로 모니터링 중에 있다고 전했다. "팔로알토 네트웍스는 PAN-OS 관리 인터페이스를 통한 원격 코드 실행 취약점에 대한 주장에 대해 인지하고 있으며, 현재 해당 취약점의 세부 정보는 알지 못한다. 우리는 악용 징후를 적극적으로 모니터링하고 있다"라고 밝혔다.
팔로알토 네트웍스는 잠재적인 공격 리스크에 대응하기 위해 몇 가지 방어 조치를 강력하게 권고했다.
-인터페이스 접근 제한: 고객들은 PAN-OS 관리 인터페이스 접근을 내부의 신뢰할 수 있는 IP 주소로 제한해야 한다.
-VLAN 내 인터페이스 격리: 관리 인터페이스를 전용 VLAN에 배치하여 내부 위협으로부터 노출을 줄일 수 있다.
-점프 서버 사용: 점프 서버를 통해 접근을 수행하여 사용자들이 방화벽에 접근하기 전에 인증하고 연결하도록 한다.
-승인된 장치에만 접근 허용: 관리 인터페이스에 접근 가능한 IP 주소를 허용된 관리 장치로만 제한하여, 도난된 인증 정보 사용을 방지한다.
-보안 프로토콜 사용: SSH와 HTTPS와 같은 보안 통신만 허용하고, PING은 연결 테스트 용도로만 제한한다.
또한 팔로알토는 Cortex Xpanse(코텍스 익스팬스)와 Cortex XSIAM(코텍스 XSIAM) 플랫폼을 사용하는 고객이 인터넷에 노출된 인스턴스를 모니터링하고 경고를 확인할 수 있는 ASM 모듈을 활용할 수 있다고 밝혔다.
이번 발표는 사이버 보안 인프라 보호를 위한 미국 사이버 보안 및 인프라 보안국(CISA)의 최근 경고와 관련이 있다. CISA는 이번 주에 인터넷에 노출된 팔로알토 익스페디션 툴에 발생하는 취약점(CVE-2024-5910)을 악용한 공격이 진행 중이라고 발표했다.
이 취약점은 7월에 패치가 이루어졌으며, 공격자는 이를 악용해 익스페디션 서버의 관리자 자격 증명을 원격으로 재설정할 수 있다. 연구기관 호라이즌3.ai 연구원은 CVE-2024-5910을 명령 주입 취약점(CVE-2024-9464)과 결합해 비인가된 공격자가 임의 명령을 실행하고 PAN-OS 방화벽을 손상시킬 수 있음을 입증한 바 있다.
CISA는 이와 관련해 CVE-2024-5910을 자사의 알려진 취약점 목록에 추가하고, 연방 기관들에 11월 28일까지 시스템을 보호할 것을 지시했다. CISA는 이러한 취약점이 정부 시스템의 중대한 보안 위협으로 작용할 수 있다고 경고했다.
사이버 보안 전문가들은 방화벽 관리 시스템 보호를 위해 접근 관리와 다층 방어 전략의 필요성을 강조하고 있다. 사이버 보안 분석가 마이클 브라운은 "방화벽 관리 인터페이스는 조직 전체 네트워크로의 게이트웨이다. 단일 취약점만으로도 중요한 시스템, 데이터, 운영이 노출될 수 있다"라고 지적했다.
그는 "IP 접근 제한은 필수이지만, 내부 분할과 모니터링 또한 우선되어야 한다"라고 강조하면서, 팔로알토의 Cortex 플랫폼과 같은 지속적인 모니터링 시스템이 잠재적인 취약점과 공격 시도를 파악하는 데 중요한 역할을 한다고 덧붙였다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[단독] 알리·테무 위해제품 차단시스템 '구멍'…171건 유통되다 재차단](https://img.newspim.com/news/2024/11/13/2411131622262640.jpg)
