Palo Alto Networks, 방화벽 RCE 제로데이 공격에 악용되고 있음을 경고

Source: Bleeping Computer

취약점 상세

Palo Alto Networks는 PAN‑OS User‑ID Authentication Portal(캡티브 포털이라고도 함)에서 중요한 심각도와 패치되지 않은 취약점이 실제로 악용되고 있다고 고객에게 경고했습니다.

• 영향을 받는 기능: PAN‑OS User‑ID Authentication Portal – 방화벽이 자동으로 매핑할 수 없는 사용자의 신원을 인증합니다.
• CVE: CVE‑2026‑0300
• 근본 원인: 버퍼 오버플로우로, 인증되지 않은 공격자가 특수하게 조작된 패킷을 통해 인터넷에 노출된 PA‑Series 및 VM‑Series 방화벽에서 루트 권한으로 임의 코드를 실행할 수 있습니다.

Palo Alto Networks는 자사 권고문에서 “신뢰할 수 없는 IP 주소 및/또는 공용 인터넷에 노출된 Palo Alto Networks User‑ID™ Authentication Portal을 대상으로 제한적인 악용이 관찰되고 있다”고 밝혔습니다. 포털을 신뢰할 수 있는 내부 네트워크에만 제한하는 고객은 위험이 크게 감소합니다.

악용 및 영향

• 노출 상황: Shadowserver는 5,800대 이상의 PAN‑OS VM‑Series 방화벽이 온라인에 노출되어 있다고 추적하고 있으며, 대부분이 아시아(2,466대)와 북미(1,998대)에 위치합니다.

  
  VM‑Series 방화벽 온라인 노출 현황 (Shadowserver)

• 해당 취약점은 가능한 최고 심각도로 분류되었습니다. 관리자는 User‑ID Authentication Portal Settings 페이지(Device → User Identification → Authentication Portal Settings → Enable Authentication Portal)에서 방화벽이 취약한 서비스를 사용 중인지 확인할 수 있습니다.

완화 권고 사항

패치가 배포될 때까지 Palo Alto Networks는 강력히 권고합니다:

1. User‑ID Authentication Portal에 대한 접근을 신뢰할 수 있는 영역으로만 제한합니다.
2. 내부 네트워크에 안전하게 제한할 수 없는 경우 포털을 완전히 비활성화합니다.

이러한 조치는 인증되지 않은 악용에 대한 공격 표면을 감소시킵니다.

역사적 배경

PAN‑OS 방화벽은 제로데이 공격의 빈번한 표적이었습니다:

• 2024년 11월: Shadowserver는 수천 대의 방화벽이 침해되었으며, 공격자가 두 개의 PAN‑OS 제로데이 취약점을 연계했다는 보고서를 발표했습니다.
• 2024년 12월: 별도의 PAN‑OS DoS 결함이 악용되어 PA‑Series, VM‑Series 및 CN‑Series 방화벽이 재부팅되어 보호 기능이 중단되었습니다.
• 2025년 2월: 공격자는 추가적인 세 가지 PAN‑OS 결함을 이용해 인터넷에 노출된 관리 인터페이스를 가진 방화벽을 침해했습니다.

이러한 사건들은 Palo Alto Networks 제품에서 새롭게 공개된 취약점이 빠르게 악용되는 패턴을 보여줍니다.

Palo Alto Networks 도달 범위

Palo Alto Networks는 자사 제품과 서비스가 전 세계 70,000개 이상의 고객에게 사용되고 있으며, 여기에는 **Fortune 10 기업의 90 %**와 대부분의 대형 미국 은행이 포함된다고 밝혔습니다.