China-Linked Attackers Exploit Check Point Flaw to Deploy ShadowPad and Ransomware
- 개요
- CISA(미국 사이버보안 및 인프라 보안국)와 Palo Alto Networks는 PAN-OS의 CVE-2025-0108 취약점 악용 급증에 대한 경고 발표
- 해당 취약점은 인증 우회 취약점으로, PAN-OS 관리 인터페이스에서 인증 절차를 우회할 수 있음
- 공격 시도는 5일간 900% 증가하며, 주로 미국 기반 클라우드 노드(63%)에서 발생
- CISA는 2025년 3월 6일까지 연방 기관에 패치 적용을 의무화
- 취약점 상세 내용
- 취약점 식별자: CVE-2025-0108
- 위험도 평가(CVSS v3.1): 7.8 (높은 위험도)
- 영향 범위: PAN-OS 관리 인터페이스의 인증 절차 우회 가능
- 위협 요소
- 공격자는 네트워크 접근만으로 인증 없이 PHP 스크립트를 실행 가능
- 자격 증명, 구성 데이터 및 시스템 로그에 접근 가능
- CVE-2024-9474(권한 상승 취약점)과 결합 시 장치 완전 제어 가능
- 영향받는 버전
- PAN-OS 10.1 (10.1.14-h9 이전 버전)
- PAN-OS 10.2 (10.2.13-h3 이전 버전)
- PAN-OS 11.1 (11.1.6-h1 이전 버전)
- PAN-OS 11.2 (11.2.4-h4 이전 버전)
- 공격 방식 및 경향
- 공격 시나리오
- 관리 인터페이스에 접근하여 인증 우회
- 웹쉘을 설치해 지속적인 원격 접근 확보
- 다른 취약점과 연계해 다단계 공격 수행
- 공격 수단
- 공개된 PoC(개념 증명) 코드를 악용
- HTTP POST 요청을 통한
/sslmgr엔드포인트 공격 - 클라우드 호스팅을 이용해 IP 추적 회피
- 최근 동향
- 2024년 말 CVE-2024-0012 취약점을 이용한 랜섬웨어 공격과 유사한 전술 사용
- 250,000대 이상의 Palo Alto 방화벽이 글로벌하게 배포되어 광범위한 영향 발생 가능
- 공격 시나리오
- 보안 권고
- 즉각적 조치사항
- PAN-OS 업그레이드
- 10.1.14-h9 이상
- 10.2.13-h3 이상
- 11.1.6-h1 이상
- 11.2.4-h4 이상
- 관리 인터페이스 보안 강화
- 신뢰할 수 있는 내부 IP만 접근 허용
- 불필요한 서비스(예: OpenConfig 플러그인) 비활성화
- 모니터링 및 탐지 강화
/sslmgr엔드포인트에 대한 비정상 HTTP POST 요청 탐지- 시스템 로그 및 구성 파일의 무단 접근 여부 점검
- PAN-OS 업그레이드
- 장기적 보안 강화 방안
- 인터넷에 노출된 기본 관리 인터페이스 제거
- 다중 인증(MFA) 적용
- 보안 업데이트 및 취약점 공개에 대한 정기적 모니터링 체계 마련
- 즉각적 조치사항
- 결론
- 빠른 패치 적용이 가장 중요한 대응 방안
- 인터넷 노출 관리 인터페이스 제거로 공격 표면 축소 필요
- 지속적 로그 모니터링 및 다단계 공격 탐지 강화 필요
- 취약점 공개 및 공격 시나리오 공유 강화를 통해 유사 공격 대응 능력 제고
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Atlassian 제품의 Confluence 및 Crowd 주요 취약점 패치 발표 (0) | 2025.02.24 |
|---|---|
| Microsoft Power Pages 권한 상승 취약점 및 Bing 원격 코드 실행 취약점 보안 업데이트 (0) | 2025.02.24 |
| Atlassian Confluence 및 Crowd의 중요 취약점 패치 발표 (0) | 2025.02.24 |
| Microsoft Bing 취약점(CVE-2025-21355)으로 인한 원격 코드 실행 위험 (0) | 2025.02.24 |
| NVIDIA CUDA Toolkit 취약점 및 DoS 공격 위험 (1) | 2025.02.24 |