본문 바로가기
사이버 안전

지멘스, 팔로알토 방화벽 버그 발생 기기 치료 진행

by renesuno 2024. 5. 1.
반응형

지멘스는 팔로알토 네트웍스(PAN) 방화벽 버그에 의해 영향을 받은 기기에 대하여 치료 작업을 진행하고 있다. 최근 이러한 취약점을 표적으로 한 공격이 증가함에 따라 CISA는 이번 버그를 지난 달 '알려진 취약점 목록'에 포함시켰다.

 

Credit: Siemens Ltd. Seoul & NewsWire

 


지멘스는 팔로알토 네트웍스(PAN) 가상 NGFW로 구성된 자사 Ruggedcom APE1808 기기를 사용하는 조직에게 팔로알토 최신 방화벽 제품에서 최대 심각도의 제로데이 버그에 대한 해결책을 시행할 것을 촉구하였다. CVE-2024-3400로 식별된 명령 삽입 취약점은 특정 기능이 활성화된 경우 PAN-OS 방화벽의 여러 버전에 영향을 미친다. 공격자는 해당 취약점을 악용하여 영향을 받는 방화벽에 새로운 파이썬 백도어를 배포하고 있다.

 

Credit: CISA.gov


악용이 활발하게 벌어지는 상황

Volexity 연구원들이 최근 취약점을 발견하고 이를 보안 업체에 보고한 후 팔로알토 네트웍스(PAN)는 취약점을 수정했다. 미국 사이버 보안 및 인프라 보안국(CISA)은 취약점에 대한 다수의 그룹 공격 보고서를 받은 후 CVE-2024-3400을 알려진 악용된 취약점 목록에 추가했다. PAN 자체가 CVE-2024-3400을 악용한 공격이 증가하고 있다는 점을 인지하고 이에 대한 증거로 특정 기능이 활성화된 PAN-OS 방화벽 버전에서 취약점에 대한 개념 증명 코드의 공개를 경고했다.

지멘스에 따르면 그들의 Ruggedcom APE1808 제품 (산업 제어 환경의 엣지 장치로 자주 배치됨) 이 문제에 취약하다고 한다. 지멘스는 PAN의 가상 NGFW가 구성된 모든 제품의 버전이 이 취약점에 영향을 받는다고 설명했다. 지멘스는 버그에 대한 업데이트 작업을 진행 중이며 고객이 위험을 완화하기 위해 잠정적인 대책을 취하도록 권고했다. 이러한 조치에는 PAN이 공격을 차단하기 위해 발표한 특정 위협 ID 사용이 포함된다. 지멘스의 공지는 PAN의 권고사항으로 GlobalProtect 게이트웨이 및 GlobalProtect 포털을 비활성화하도록 권장하며 이러한 기능이 Ruggedcom APE1808 배포 환경에서 이미 기본적으로 비활성화되어 있음을 고객들에게 상기시켰다.

PAN은 초기에도 조치로서 장치 텔레메트리 비활성화를 권장했다. 보안 공급업체는 나중에 이 조언을 효과가 없다고 하고 철회했다. "장치 텔레메트리는 PAN-OS 방화벽이 이 취약점과 관련된 공격에 노출될 필요가 없습니다."라고 회사는 지적했다.

지멘스는 산업 제어 환경에서 디바이스의 네트워크 액세스를 적절한 메커니즘으로 보호할 것을 일반적인 규칙으로 권장했다. "디바이스를 보호된 IT 환경에서 운영하기 위해서는 산업 보안에 대한 지멘스의 운영 지침에 따라 환경을 구성하는 것이 지멘스의 권장 사항입니다."라고 언급했다.


인터넷에 노출된 기기는 ICS/OT에 대한 심각한 위험 상존

노출된 인스턴스 중 몇 개가 산업제어시스템(ICS) 및 운영기술(OT) 설정에 있는지는 분명하지 않다. 그러나 일반적으로 인터넷 노출은 ICS 및 OT 환경에서 주요 문제로 지적된다. Forescout의 새로운 조사에 따르면 전 세계적으로 거의 110,000개의 인터넷 노출된 ICS 및 OT 시스템이 발견되었다. 미국이 27%를 차지하여 노출된 인스턴스의 선두를 달렸으나 그 수는 몇 년 전에 비해 상당히 적어졌다. 반면 Forescout은 스페인, 이탈리아, 프랑스, 독일 및 러시아를 포함한 다른 국가에서 인터넷에 노출된 ICS/OT 장비 수의 급격한 증가를 발견했다.

Forescout는 기회주의적 사이버 공격자들이 최근 이러한 노출을 활용하고 있다고 언급했다. 그리고 보안 공급업체는 시스템 통합 업체가 실수로 ICS 및 OT 시스템을 인터넷에 노출시키는 패키지 묶음을 제공하는 데 일조했다고 평가했다. "거의 모든 자산 소유자가 이러한 패키지들이 노출된 OT 장치를 포함하고 있음을 인식하지 못하고 있을 것"이라고 Forescout은 말했다.

 

 

출처: Jai Vijayan | Dark Reading (2024년 4월 23일)

반응형