팔로알토 네트워크, 방화벽 취약점 악용 공격 경고

 

 

 

 

Palo Alto Networks가 최근 자사의 방화벽 소프트웨어에서 발견된 새로운 취약점이 해커들에 의해 적극적으로 공격받고 있다고 경고했습니다. 이 취약점은 PAN-OS라는 Palo Alto Networks 방화벽을 구동하는 운영 체제에서 발견되었으며, CVE-2025-0108로 추적되고 있습니다.

 

 

 

 

 

취약점 발견 및 공개

CVE-2025-0108 취약점은 2025년 2월 초 사이버보안 기업 Assetnote에 의해 발견되었습니다. Assetnote 연구원들은 이전에 공격에 사용된 두 개의 Palo Alto 방화벽 취약점을 분석하는 과정에서 이 새로운 취약점을 발견했습니다

Palo Alto Networks는 취약점이 발견된 당일인 2025년 2월 12일에 보안 권고문을 발표하고 고객들에게 긴급 패치를 적용할 것을 권고했습니다

 

 

 

 

 

취약점의 특성

CVE-2025-0108은 PAN-OS 관리 웹 인터페이스의 인증 우회 취약점입니다. 이 취약점의 주요 특징은 다음과 같습니다:

1. 심각도: CVSS 4.0 기준으로 8.8점의 높은 심각도를 가집니다
2. 공격 방식: 인증되지 않은 공격자가 관리 웹 인터페이스에 네트워크 접근이 가능한 경우, 인증을 우회하고 특정 PHP 스크립트를 실행할 수 있습니다
3. 영향: 직접적인 원격 코드 실행은 불가능하지만, PAN-OS의 무결성과 기밀성에 부정적인 영향을 미칠 수 있습니다
4. 영향받는 버전: PAN-OS 11.2.4-h4, 11.1.6-h1, 10.2.13-h3, 10.1.14-h9 이전 버전들이 영향을 받습니다

 

 

 

 

 

 

취약점 악용 현황

Palo Alto Networks는 2025년 2월 18일에 CVE-2025-0108 취약점이 실제 공격에 악용되고 있다는 사실을 확인했습니다.회사는 2월 19일에 보안 권고문을 업데이트하여 이 취약점이 적극적으로 공격받고 있음을 경고했습니다

위협 인텔리전스 기업 GreyNoise에 따르면, CVE-2025-0108을 악용하려는 첫 시도가 2월 13일에 감지되었습니다2월 18일 기준으로 거의 30개의 고유 IP 주소에서 공격 시도가 관찰되었습니다

GreyNoise는 2월 19일 블로그 게시물을 통해 CVE-2025-0108을 적극적으로 악용하는 IP 주소가 25개로 증가했다고 밝혔습니다. 이는 2월 13일의 2개에서 크게 증가한 수치로, 악용 활동이 증가하고 있음을 시사합니다

 

 

 

 

 

취약점 체인 공격

Palo Alto Networks는 공격자들이 CVE-2025-0108을 다른 두 개의 취약점과 연계하여 체인 공격을 수행하고 있다고 경고했습니다

1. CVE-2024-9474: 2024년 11월에 패치된 권한 상승 취약점으로, PAN-OS 관리자가 루트 권한으로 방화벽에서 명령을 실행할 수 있게 합니다
2. CVE-2025-0111: 2025년 2월 12일에 패치된 파일 읽기 취약점으로, 인증된 공격자가 "nobody" 사용자가 읽을 수 있는 PAN-OS 파일 시스템의 파일을 읽을 수 있게 합니다

 

 

이 세 가지 취약점을 연계한 공격은 패치되지 않고 보안되지 않은 PAN-OS 웹 관리 인터페이스를 대상으로 이루어지고 있습니다

 

 

 

 

 

 

 

공격의 영향 및 목적

Palo Alto Networks는 이 취약점 체인 공격의 복잡성이 "낮다"고 언급했지만, 구체적인 공격 방식이나 목적에 대해서는 자세히 설명하지 않았습니다. 그러나 보안 전문가들은 이 공격이 다음과 같은 목적으로 사용될 수 있다고 추측합니다:

1. 무단 접근: 인증되지 않은 공격자가 관리 인터페이스에 접근할 수 있습니다
2. 권한 상승: CVE-2024-9474를 통해 루트 권한을 획득할 수 있습니다
3. 정보 유출: CVE-2025-0111을 이용해 중요한 파일을 읽을 수 있습니다
4. 구성 파일 다운로드: BleepingComputer에 따르면, 이 취약점 체인을 통해 구성 파일과 기타 민감한 정보를 다운로드할 수 있다고 합니다

 

 

 

 

공격의 지리적 분포

GreyNoise에 따르면, CVE-2025-0108을 악용하는 공격 트래픽이 가장 많이 관찰된 국가는 미국, 독일, 네덜란드입니다 이는 이 국가들에 Palo Alto Networks 방화벽을 사용하는 조직이 많거나, 이 국가들의 인프라를 통해 공격이 이루어지고 있을 가능성을 시사합니다.

 

 

 

 

 

대응 조치

Palo Alto Networks와 보안 전문가들은 다음과 같은 대응 조치를 권고하고 있습니다:

1. 즉시 패치 적용: 2025년 2월 12일에 릴리스된 보안 업데이트를 즉시 적용해야 합니다
2. 관리 인터페이스 접근 제한: 관리 인터페이스에 대한 접근을 점프 박스나 신뢰할 수 있는 내부 IP로 제한해야 합니다
3. 모니터링 강화: 비정상적인 활동이나 의심스러운 접근 시도를 모니터링해야 합니다.
4. 네트워크 분리: 가능한 경우 중요한 시스템을 분리된 네트워크에 배치해야 합니다.
5. 로그 분석: 과거 로그를 분석하여 잠재적인 침해 징후를 확인해야 합니다.

 

 

 

 

 

정부 기관의 대응

미국 정부의 사이버보안 기관인 CISA(Cybersecurity and Infrastructure Security Agency)는 2025년 2월 19일에 CVE-2025-0108을 공개적으로 알려진 악용된 취약점(Known Exploited Vulnerabilities, KEV) 카탈로그에 추가했습니다.이는 이 취약점의 심각성과 실제 공격에 사용되고 있다는 사실을 정부 차원에서 인정한 것입니다.

 

 

 

 

 

결론

Palo Alto Networks의 PAN-OS에서 발견된 CVE-2025-0108 취약점과 이를 이용한 체인 공격은 현재 사이버 보안 환경에서 중요한 위협으로 부상하고 있습니다. 이 취약점은 단독으로도 위험하지만, 다른 취약점들과 연계되어 더욱 심각한 위협이 될 수 있습니다.

조직들은 이 취약점에 대한 패치를 즉시 적용하고, 네트워크 보안을 강화하며, 지속적인 모니터링을 수행해야 합니다. 또한, 사이버 보안 커뮤니티는 이러한 취약점과 공격 기법에 대한 정보를 공유하고 협력하여 더 효과적인 대응 방안을 마련해야 할 것입니다.

앞으로 몇 주 동안 이 취약점의 악용 현황과 그 영향을 주의 깊게 관찰할 필요가 있습니다. 또한, 이번 사례를 통해 네트워크 보안 장비의 취약점이 얼마나 심각한 위협이 될 수 있는지, 그리고 신속한 패치 적용과 지속적인 보안 관리의 중요성을 다시 한번 확인할 수 있습니다.