고위험군 디도스 취약점인 CVE-2022-0028이 얼마 전 팔로알토 네트웍스의 방화벽에서 발견되고 패치됐다. 그리고 최근 이 취약점을 통한 실제 공격이 발견됨에 따라 CISA가 새롭게 경고문을 발표했다. 사용자들의 조속한 패치 적용이 필요하다.

[보안뉴스 문가용 기자] 미국의 사이버 보안 전담 기구인 CISA가 팔로알토 네트웍스(Palo Alto Networks)의 방화벽 제품에서 발견된 고위험군 취약점이 현재 활발히 익스플로잇 되고 있다고 경고했다. 이 취약점은 CVE-2022-0028이며, CVSS를 기준으로 8.6점을 받았다. 인증 과정을 거치지 않고도 디도스 공격을 할 수 있게 해 주는 취약점인 것으로 발표됐었다. 또한 공격자들의 추적을 어렵게 만든다는 특징을 가지고 있기도 하다.

[보안뉴스 / 8.25.] 최근 팔로알토 방화벽에서 발견된 취약점, 실제 공격에 활용되고 있어

[이미지 = utoimage]

문제의 취약점에 대해서는 이번 달 팔로알토 측에서 이미 패치와 함께 보안 경고문을 발표하기도 했었다. “해당 취약점을 통해 디도스 공격을 실시할 경우 공격의 근원지가 팔로알토의 PA 시리즈(하드웨어), VM 시리즈(가상기계), CN 시리즈(컨테이너) 방화벽인 것처럼 보이게 만들 수 있습니다. 다만 공격자가 이 취약점을 익스플로잇 했다고 해서 내부 네트워크에 접속할 수 있는 건 아닙니다. 사업 행위가 중단되게만 만드는 것이죠.” 보안 업체 카디널옵스(CardinalOps)의 방어 전략 담당자 필 너레이(Phil Neray)의 설명이다. 그러면서 “디도스 공격이 수준 낮은 해킹 공격의 일종으로 취급되는 경향이 있는데, 고급 APT 공격자들도 자주 사용하는 전략”이라고 강조하기도 했다.

취약점이 발생하는 이유는 URL 필터링과 관련된 정책이 잘못 설정되었기 때문이다. 그러므로 표준이 아닌 설정이 적용된 인스턴스들은 위험할 수 있다고 한다.

이미 실제 해킹 공격에 활용되고 있어
팔로알토가 해당 취약점에 대해 경고하고 패치를 배포한 건 2주 전의 일이다. 하지만 이번에 CISA로부터 새롭게 경고가 나온 건 공격자들이 이 취약점을 실제 공격에 활용하고 있기 때문이었다. CISA는 CVE-2022-0028을 ‘익스플로잇 되고 있는 취약점(KEV)’ 목록에 올리기도 했다. 이 취약점 목록은 실제 공격 사례가 있어 패치가 시급한 취약점들을 모아 둔 자료다.

보안 업체 비아쿠(Viakoo)의 CEO인 버드 브룸헤드(Bud Broomhead)는 “사이버 공격자들 사이에서 디도스 익스플로잇에 대한 수요가 점점 높아지고 있다”고 말한다. “최근 공격자들은 각종 증폭 기술을 활용해 큰 규모의 디도스 공격을 자주 실시합니다. 최근 구글이 초당 4600만 건의 요청을 일으키는 디도스 공격을 발견해 발표하기도 했지요. 요즘 공격 규모 면에서 기록이 자주 깨지고 있는 게 그런 이유에서죠.”

또 다른 보안 업체 스카이박스시큐리티(Skybox Security)의 엔지니어링 국장인 테리 올레스(Terry Olaes)는 “공격자들이 취약점 위험도가 그리 높지 않은 것도 적극 익스플로잇 하는 최근의 트렌드도 방어자 입장에서 기억해야 한다”고 짚는다. “보통 보안 담당자들은 CVSS 점수를 기준으로 패치 순서를 정하곤 합니다. CVSS 점수가 높은 것들부터 하죠. 그런 과정에서 CVSS 점수가 낮은 것들이 무시되기도 합니다만, 공격자들은 점수에 따라 익스플로잇 할 것을 고르지 않습니다. 익스플로잇 난이도와 익스플로잇 코드의 존재 여부에 따라 고르는 경우가 훨씬 많죠.”

보안 업체 노비포(KnowBe4)의 보안 에반젤리스트인 로저 그라임즈(Roger Grimes)는 “CISA가 KEV 목록에 올려 둔 취약점을 패치하는 게 먼저”라고 강조한다. “KEV는 실제 공격 사례가 있는 취약점들이 무엇인지를 알려주는 자료입니다. 가상의 위험성을 말하는 게 아니라 진짜 위험성을 말하는 것이죠. 패치의 우선 순위를 정할 때 가장 중요한 건 익스플로잇 가능성과 익스플로잇 이력입니다. 사용자가 많은 소프트웨어나 OS의 취약점도 시급히 패치하는 게 좋고요.”

CISA가 최근 KEV에 추가한 팔로알토 방화벽의 취약점이 해결된 버전은 다음과 같다.
1) PAN-OS 8.1.23-h1
2) PAN-OS 9.0.16-h3
3) PAN-OS 9.1.14-h4
4) PAN-OS 10.0.11-h1
5) PAN-OS 10.1.6-h6
6) PAN-OS 10.2.2-h2
7) PA 시리즈, VM 시리즈, CN 시리즈 방화벽에 탑재된 모든 최신 버전의 PAN-OS

3줄 요약
1. 2주 전 팔로알토 네트웍스의 PAN-OS에서 고위험군 취약점 발견됨.
2. 디도스 공격을 가능하게 하는 취약점으로, 최근 공격자들 사이에서 디도스 인기 높아짐.
3. 취약점 패치의 우선 순위를 정할 때 익스플로잇 가능성을 기준으로 하는 게 중요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>