팔로앨토, PAN‑OS 글로벌프로텍트 VPN 취약점 활성 악용 경고

Source: The Hacker News

Ravie Lakshmanan 2026년 6월 15일 취약점 / VPN 보안

팔로앨토 네트워크는 최근 공개된 PAN-OS 취약점에 대해 “활동적 활용”을 관측했으며, 익명의 위협 행위자가 GlobalProtect 포털에 무단 접근을 시도하고 있음을 확인했습니다.

해당 취약점은 CVE-2026-0257(CVSS 점수: 7.8)이며, PAN-OS 소프트웨어의 포털 및 게이트웨이 구성 요소를 대상으로 하는 인증 우회 결함으로, 악용자는 이를 이용해 VPN 연결을 설정할 수 있습니다.

네트워크 보안 기업에 따르면, 이 보안 결함을 악용하면 공격자가 보안 제어를 우회하고 VPN 연결을 시작할 수 있습니다.

이 취약점은 실전 공격에서 제한적으로 활용되었으며, 초기 활동은 2026년 5월 17일에 관찰되었습니다. 현재는 침해 책임자 신원이 확인되지 않았습니다.

“아직까지 후속 동작이나 측면 이동 사례는 확인되지 않았으며,” 팔로앨토 네트워크가 전했습니다. “조사된 장치 중 소수만이 VPN 세션을 실제로 설정했으며, 이로 인해 게이트웨이 연결 이벤트가 발생했습니다.”

팔로앨토 네트워크는 해당 활동과 관련된 지표(IoC)를 공개했는데,

• IP 주소 -

  • 23.128.228[.]6
  • 104.207.144[.]154
  • 146.19.216[.]119
  • 146.19.216[.]120
  • 146.19.216[.]125
  • 179.43.172[.]213
  • 185.195.232[.]139
  • 198.12.106[.]60
  • 202.144.192[.]47

• 호스트 이름 및 MAC 주소 -

  • aa:bb:cc:dd:ee:ff
  • 00:11:22:33:44:55
  • WINDOWS-LAPTOP-001
  • DESKTOP-GP01
  • GP-CLIENT

팔로앨토 네트워크는 고객에게 GlobalProtect 로그에서 다음과 같은 PoC(증명 개념) exploit에 하드코딩된 클라이언트 설정 값을Matching하는 성공적인 게이트웨이 연결 이벤트를 검색하라고 권고하고 있습니다.

• endpoint_os_version : Microsoft Windows 10 Pro 64비트
• source_user_info.domain : 빈 값

지난달 말에 미국 사이버보안 및 인프라 보안청(CSIA)은 CVE-2026-0257을 자체 Known Exploited Vulnerabilities(KEV) 카탈로그에 추가했으며, 연방 민간 행정부(FCEB) 기관들에게 2026년 6월 1일까지 완화하도록 명령했습니다.

이 기사가 흥미로웠다면 Google News(링크), Twitter(링크) 및 LinkedIn(링크)를 팔로우하여 독점 콘텐츠를 확인해 보세요.