팔로알토 네트웍스, 방화벽 보안 취약점 악용 사례 발견

[아이티데일리] 팔로알토 네트웍스가 자사 방화벽에서 최근 발견된 보안 취약점이 활발히 악용되고 있다는 사실을 알렸다. 공격자는 이 취약점을 통해 방화벽 운영체제인 ‘판-OS(PAN-OS)’ 내 인증을 우회해 관리 웹 인터페이스에 무단 접근할 수 있었다.

팔로알토 네트웍스는 18일(현지 시각) 공식 홈페이지를 통해 보안 취약점 ‘CVE-2025-0108’을 악용한 공격 시도가 이어지고 있다고 밝혔다.

위협 행위자들은 해당 취약점을 통해 PAN-OS 관리 웹 인터페이스에서 요구하는 인증을 우회하고 특정 PHP 스크립트를 호출할 수 있었다. PHP는 C언어를 기반으로 만들어진 서버 측 스크립트 언어다. PHP 스크립트로 인한 원격 코드 실행은 불가했으나 PAN-OS의 무결성과 기밀성에 부정적 영향을 미칠 수 있었다.

팔로알토 네트웍스는 지난 12일(현지 시각) CVE-2025-0108을 발견한 사실과 함께 이에 대한 패치 및 완화 조치를 발표했다. 위협 인텔리전스 기업 ‘그레이노이즈(GreyNoise)’에 따르면, 해당 취약점이 공개된 바로 다음 날인 13일 이를 이용한 익스플로잇(Exploit) 공격이 처음 발견됐으며 18일까지 IP 주소 26개에서 공격 시도가 포착됐다.

이후 팔로알토 네트웍스는 패치되지 않은 PAN-OS 웹 관리 인터페이스에서 CVE-2025-0108을 CVE-2024-9474, CVE-2025-0111 등 다른 취약점과 연결하려는 공격 시도를 발견했다고 18일 재차 공지했다. 다만 이 세 가지 취약점이 어떤 방식으로 함께 악용되는지에 대해서는 설명하지 않았다.

CVE-2024-9474는 팔로알토 네트웍스가 지난해 11월 공개한 보안 취약점으로, 이는 관리 웹 인터페이스에 접근할 수 있는 PAN-OS 관리자가 루트 권한으로 방화벽에서 작업을 수행할 수 있는 권한 상승 취약점이었다.

CVE-2025-0111은 네트워크 액세스 권한을 가진 인증된 공격자가 일반 사용자용 PAN-OS 시스템 내 파일을 읽을 수 있는 취약점으로 이달 13일경 공개됐다.

팔로알토 네트웍스 측은 “인터넷이나 신뢰할 수 없는 네트워크에서 관리 인터페이스에 대한 액세스를 활성화했을 경우, 이번 보안 취약점으로 인한 위험이 매우 클 수 있다”며 “신뢰할 수 있는 내부 IP 주소로만 접근 권한을 제한하면 위험성을 낮출 수 있다”고 조언했다.