사이버 공격 사이버 보안 CISA 제로데이 PAN-OS CVE-2026-0300 방화벽 취약점 팔로 알토 네트워크 메모리 손상 루트 권한

제로데이 취약점, 실시간 공격으로 확인

사이버 보안 업체 팔로 알토 네트워크(Palo Alto Networks)는 자사의 PAN-OS 인증 포털에 존재하는 제로데이 취약점(CVE-2026-0300)이 공격자들에 의해 실시간으로 악용되고 있다고 밝혔다. 이 취약점은 인증 없이도 PA-Series 및 VM-Series 방화벽에서 루트 권한으로 코드 실행이 가능한 메모리 손상 취약점으로, CVSS 점수는 9.3에 달한다.

공격 범위 및 영향

이 취약점은 User-ID 인증 포털(Captive Portal)이 공개 인터넷 또는 신뢰할 수 없는 IP 주소에 노출된 소수의 고객에게만 영향을 미친다. 팔로 알토 네트워크는 현재까지 제한적인 공격만 확인했으며, 5월 13일부터 소프트웨어 패치를 제공할 예정이라고 밝혔다.

사이버 보안 및 인프라 보안국(CISA)은 이 취약점을 ‘알려진 악용 취약점 목록’에 추가했으며,Shadowserver의 스캔 결과 5,800개 이상의 VM-Series 방화벽이 공개 인터넷에 노출된 것으로 나타났다. 그러나 이 중 몇 대가 인증 접근을 제한했는지 여부는 아직 확인되지 않았다.

공격 복잡성과 실태

  • 공격 복잡도: 낮음 (버퍼 오버플로우 취약점)
  • 공격 가능 대상: PAN-OS가 설치된 PA-Series, VM-Series 방화벽
  • 제외 대상: Cloud NGFW, Panorama 장비

팔로 알토 네트워크는 즉시 보안 환경 강화를 위한 지침을 제공했으며, 현재까지는 클라우드 기반 방화벽이나 관리 시스템에는 영향을 미치지 않는다고 밝혔다.

전문가들의 분석

watchTowr의 벤자민 해리스 CEO는 “팔로 알토 네트워크가 제로데이를 사전에 고객에게 알림으로써 방어자들이 노출된 인스턴스를 보호할 수 있었다”며 “위험한 상황에서도 최선의 조치를 취한 것”이라고 평가했다. 그러나 동시에 “이 조치가 취약점의 존재를 알리는 결과가 되었다”고 지적했다.

VulnCheck의 보안 연구 책임자 케이틀린 콘돈은 “관리 인터페이스와 로그인 페이지는 최근 몇 년간 기회주의적 및 표적 공격의 주요 표적이 되어왔다”며 “이번 취약점도 곧 공개 익스플로잇과 광범위한 공격으로 이어질 가능성이 크다”고 경고했다.

대응 방안 및 전망

팔로 알토 네트워크는 아직까지 공격의 배후 세력이나 표적 조직을 공개하지 않았으며, 패치 배포 시기를 명확히 밝히지 않았다. 연구자들은 악의적인 활동을 모니터링 중이며, 고객들에게 패치 적용을 권장하고 있다.

현재까지는 팔로 알토 네트워크와 피격 고객들만 실전 공격을 확인했지만, 전문가들은 곧 third-party 조직이나 허니팟에서도 규칙이 활성화될 것으로 예상하고 있다. 이는 곧 공개 익스플로잇의 등장과 광범위한 공격 확산으로 이어질 가능성이 높다.

즉시 조치해야 할 사항

  • User-ID 인증 포털 노출 여부 확인 (공개 인터넷 또는 신뢰할 수 없는 IP 주소에 노출된 경우 즉시 차단)
  • 패치 배포 시점 모니터링 (5월 13일 이후 업데이트 예정)
  • 방화벽 로그 검토 및 이상 징후 탐지
  • CISA의 알려진 악용 취약점 목록 모니터링
출처: CyberScoop
크리스티 누임이 지지한 오하이오 연방의원 후보, 공화당 예비선거에서 낙선
← 이전

크리스티 누임이 지지한 오하이오 연방의원 후보, 공화당 예비선거에서 낙...

 ‘위도우스 베이’ 에피소드 3: 공포의 시작, 시청자 충격에 몰아치는 결말
다음 →

‘위도우스 베이’ 에피소드 3: 공포의 시작, 시청자 충격에 몰아치는 결말