Palo Alto Networks, PAN-OS GlobalProtect 취약점이 적극적으로 악용되고 있다고 경고
기업용 VPN에 대한 적극적인 공격
Palo Alto Networks는 공격자들이 PAN-OS GlobalProtect 인증 우회 취약점을 적극적으로 악용하여 기업 장치에서 무단 VPN 연결을 수립할 수 있다고 경고하고 있습니다.
이 결함은 CVE-2026-0257로 추적되며 이달 초에 패치되었습니다. Palo Alto는 당초 심각도를 Medium으로 평가했는데, 악용하려면 장치에 인증 재정의 쿠키가 활성화되어 있고 특정 인증서 구성이 필요하다고 밝혔습니다. 금요일에 회사는 권고문을 수정하여, 완화 조치가 적용되지 않은 미패치 PAN-OS 장치를 대상으로 한 제한적 악용 시도가 있음을 인지했고 심각도를 High로 상향 조정했다고 밝혔습니다.
"Palo Alto Networks PAN-OS 소프트웨어의 GlobalProtect 포털과 게이트웨이는 공격자가 보안 제한을 우회하고 무단 VPN 연결을 수립하도록 허용합니다,"라고 회사는 권고문에서 밝혔습니다.
이 업데이트는 Rapid7의 별도 경고를 따른 것입니다. Rapid7은 5월 17일부터 여러 고객들에서 성공적인 악용이 관찰되었다고 밝혔습니다. Rapid7은 영향받은 장치들에서의 성공적인 측면 이동(lateral movement) 증거는 보지 못했지만, 이 취약점이 2026년 5월 29일부로 CISA의 Known Exploited Vulnerabilities 카탈로그에 추가되었다고 언급했습니다.
Rapid7에 따르면 공격자들은 위조된 인증 재정의 쿠키를 사용해 GlobalProtect 게이트웨이에 인증하고 로컬 관리자 계정을 노렸습니다. 회사는 처음으로 5월 18일에 Vultr에서 호스팅된 인프라에서 악용을 관찰했고, 이어 5월 21일에는 Dromatics Systems에서 시작된 두 번째 공격 물결을 보았다고 밝혔습니다.
일부 경우 공격자들은 위조된 쿠키로 VPN을 통해 장치에 연결해 내부 네트워크에 접근하는 데 성공했습니다. 다른 사례에서는 장치가 위조된 쿠키를 수락했지만 완전한 VPN 세션을 수립하지는 못했습니다.
Rapid7은 영향받은 장치들이 GlobalProtect 인증 재정의 쿠키가 활성화되어 있었고 공격자가 유효한 쿠키를 위조할 수 있도록 구성되어 있었다고 밝혔습니다. 문제는 PAN-OS의 검증 과정에서 비롯되는데, VPN 장치는 구성된 개인 키로 쿠키를 복호화하고 서명 검증을 수행하지 않고 복호화된 내용을 신뢰합니다. 동일한 인증서가 HTTPS 서비스와 인증 재정의 쿠키에 모두 사용되는 경우, 공격자는 HTTPS 세션을 통해 공개 키를 얻고 이를 사용해 장치가 합법적인 것으로 수락하는 쿠키를 생성할 수 있습니다.
출처:
Doppler VPN: 6개 서버 위치, VLESS protocol, 트래킹 없음. 무료로 시작하기.