Palo Alto PAN-OS 결함, 활발한 악용으로 원격 코드 실행 가능
Source: The Hacker News
개요
Palo Alto Networks는 현재 악용되고 있는 PAN‑OS 소프트웨어의 심각한 버퍼 오버플로우 취약점에 대한 권고를 발표했습니다. CVE‑2026‑0300으로 추적되는 이 취약점은 인증되지 않은 원격 코드 실행을 가능하게 합니다. User‑ID 인증 포털이 인터넷이나 신뢰할 수 없는 네트워크에 노출된 경우 CVSS 점수는 9.3, 신뢰할 수 있는 내부 IP 주소에만 제한된 경우 8.7을 받습니다.
“Palo Alto Networks PAN‑OS 소프트웨어의 User‑ID 인증 포털(캡티브 포털) 서비스에 존재하는 버퍼 오버플로우 취약점으로 인해 인증되지 않은 공격자가 특수하게 조작된 패킷을 전송함으로써 PA‑Series 및 VM‑Series 방화벽에서 루트 권한으로 임의 코드를 실행할 수 있습니다.” 라고 회사는 권고문에서 밝혔습니다. (source)
이 결함은 현재 제한적으로 악용되고 있으며, User‑ID 인증 포털이 공개적으로 접근 가능하도록 설정된 환경을 표적으로 삼고 있습니다.
영향을 받는 버전
다음 PAN‑OS 버전이 영향을 받습니다:
- PAN‑OS 12.1 – 버전 < 12.1.4‑h5, < 12.1.7
- PAN‑OS 11.2 – 버전 < 11.2.4‑h17, < 11.2.7‑h13, < 11.2.10‑h6, < 11.2.12
- PAN‑OS 11.1 – 버전 < 11.1.4‑h33, < 11.1.6‑h32, < 11.1.7‑h6, < 11.1.10‑h25, < 11.1.13‑h5, < 11.1.15
- PAN‑OS 10.2 – 버전 < 10.2.7‑h34, < 10.2.10‑h36, < 10.2.13‑h21, < 10.2.16‑h7, < 10.2.18‑h6
Palo Alto Networks는 2026년 5월 13일부터 패치를 배포할 예정이며, 해당 취약점은 User‑ID 인증 포털이 활성화된 PA‑Series 및 VM‑Series 방화벽에만 적용됩니다.
완화 조치
패치가 제공되기 전까지 사용자는 다음과 같이 대응해야 합니다:
- User‑ID 인증 포털에 대한 접근을 신뢰할 수 있는 내부 영역으로만 제한합니다.
- 필요하지 않은 경우 포털을 완전히 비활성화합니다.
관리 인터페이스 보안에 대한 자세한 가이드는 Palo Alto Networks의 권고문을 참고하십시오: Why it’s essential to secure your management interface.
참조
- Palo Alto Networks Security Advisory – CVE‑2026‑0300: https://security.paloaltonetworks.com/CVE-2026-0300
- 이미지 출처: https://thehackernews.uk/threatlabz-vpn-risk-2026-d