오늘 사이버 보안 회사인 Palo Alto Networks는 PAN-OS 관리 인터페이스의 잠재적인 원격 코드 실행 취약점으로 인해 차세대 방화벽에 대한 액세스를 제한하라고 고객에게 경고했습니다.
금요일에 발표된 보안 권고에서 회사는 아직 이 보안 결함에 대한 추가 정보가 없으며 활발하게 악용되는 징후도 발견하지 못했다고 덧붙였습니다.
“Palo Alto Networks는 PAN-OS 관리 인터페이스를 통한 원격 코드 실행 취약점에 대해 알고 있습니다. 현재로서는 주장된 취약점의 구체적인 내용을 알 수 없습니다. 악용 징후가 있는지 적극적으로 모니터링하고 있습니다.” 말했다.
“우리는 고객에게 권장되는 모범 사례 배포 지침에 따라 관리 인터페이스에 대한 액세스가 올바르게 구성되었는지 확인할 것을 강력히 권장합니다.
“ASM 모듈을 사용하는 Cortex Xpanse 및 Cortex XSIAM 고객은 Palo Alto Networks 방화벽 관리자 로그인 공격 표면 규칙에 의해 생성된 경고를 검토하여 인터넷에 노출된 인스턴스를 조사할 수 있습니다.”
회사는 고객에게 인터넷에서 방화벽의 PAN-OS 관리 인터페이스에 대한 액세스를 차단하고 신뢰할 수 있는 내부 IP 주소의 연결만 허용할 것을 권고했습니다.
Palo Alto Networks 커뮤니티 웹사이트의 별도 지원 문서에 따르면 관리자는 관리 인터페이스의 노출을 줄이기 위해 다음 조치 중 하나 이상을 취할 수도 있습니다.
- 전용 관리 VLAN에서 관리 인터페이스를 격리합니다.
- 점프 서버를 사용하여 관리 IP에 액세스합니다. 사용자는 방화벽/파노라마에 로그인하기 전에 점프 서버를 인증하고 연결합니다.
- 관리 인터페이스에 대한 인바운드 IP 주소를 승인된 관리 장치로 제한하십시오. 이렇게 하면 예상치 못한 IP 주소로부터의 액세스를 방지하고 도난당한 자격 증명을 사용한 액세스를 방지하여 공격 표면을 줄일 수 있습니다.
- SSH, HTTPS와 같은 보안 통신만 허용합니다.
- 인터페이스 연결을 테스트할 때만 PING을 허용하십시오.
공격에 악용된 치명적인 인증 누락 결함
CISA는 목요일 CVE-2024-5910으로 추적되는 Palo Alto Networks Expedition의 중요한 누락된 인증 취약점을 악용하는 지속적인 공격에 대해서도 경고했습니다. 이 보안 결함은 7월에 패치되었으며 위협 행위자는 이를 원격으로 악용하여 인터넷에 노출된 Expedition 서버의 애플리케이션 관리자 자격 증명을 재설정할 수 있습니다.
CISA는 이러한 공격에 대한 자세한 내용을 제공하지 않았지만 Horizon3.ai 취약점 연구원인 Zach Hanley는 지난달 명령 주입 취약점(CVE-2024-9464로 추적)과 연결하여 “인증되지 않은 공격”을 얻는 개념 증명 익스플로잇을 발표했습니다. ” 취약한 Expedition 서버에서 임의 명령 실행.
CVE-2024-9464는 지난 10월 Palo Alto Networks가 해결한 다른 보안 결함과 연결되어 관리자 계정을 탈취하고 PAN-OS 방화벽을 탈취할 수도 있습니다.
미국 사이버 보안 기관은 또한 알려진 악용 취약점 카탈로그에 CVE-2024-5910 취약점을 추가하여 연방 기관에 11월 28일까지 3주 이내에 공격으로부터 시스템을 보호하도록 명령했습니다.
CISA는 “이러한 유형의 취약점은 악의적인 사이버 공격자가 자주 공격하는 벡터이며 연방 기업에 심각한 위험을 초래합니다”라고 경고했습니다.
