CVE-2024-3400 취약점 이슈 발표 (출처: 보안뉴스) 

초기 Python 페이로드 (출처:BleepingComputer) 

CVE-2024-3400 제로데이 취약점

최근 3월 26일부터 Palo Alto Networks 방화벽의 제로데이 취약점(CVE2024-3400)을 악용한 공격이 발생하였습니다. 해커들은 취약한 방화벽 장치를 이용하여 내부 네트워크를 침해하고 데이터와 자격증명을 훔쳐왔습니다. 해커들은 PAN-OS 방화벽 소프트웨어의 인증되지 않은 원격 코드 실행 취약점을 적극적으로 악용하고 있으며, 긴급 패치인 핫픽스는 19일에 패치될 예정이라 모든 버전에서 패치가 제공되기까지는 시간이 소요돼 이용자들의 각별한 주의가 요구되는 상황입니다. 

이 제로데이 취약점은 팔로알토 방화벽의 GlobalProtect VPN 기능이 활성화돼 있다면 공격 대상이 됩니다. 공격 대상이 된 방화벽은 공격자가 인프라에reverse shell을 생성하고 방화벽에 추가 페이로드를 다운로드를 합니다. 설치된 페이로드는 백도어 역할을 하는 PAN-OS용 ‘Upstyle’이라는 백도어를 실행하게 됩니다. 

CVE-2024-3400 제로데이 공격 흐름도 

CVE-2024-3400 제로데이 공격 흐름

이 공격은 두 가지 버그를 교묘하게 결합함으로써 취약한 방화벽에서 명령 실행을 달성하기 위해 2단계 공격을 수행할 수 있음을 발견했습니다. 

1단계에서는 공격자는 유효한 세션 ID 대신 신중하게 조작된 Shell 명령을GlobalProtect에 보냅니다. 이로 인해 공격자가 선택한 파일 이름으로 포함된명령이 포함된 빈 파일이 시스템에 생성됩니다. 

2단계에서는 정기적으로 실행되는 의심할 여지가 없는 예약된 시스템 작업이명령에서 공격자가 제공한 파일이름을 사용합니다. 이로 인해 공격자가 제공한 명령이 상승된 권한으로 실행됩니다. 

1단계가 성공했다고 해서 반드시 공격자의 명령이 실행되었다는 의미는 아닙니다. 오히려 단순히 공격자가 방화벽 자체를 손상시키지 않는 이상한 이름의빈 파일을 생성했다는 의미입니다. 

결론

CVE-2024-3400 취약점 제로데이 공격은 Palo Alto Networks사 방화벽을 쓰는 기업에서는 매우 위험한 취약점 공격입니다. 때문에 GlobalProtect VPN 기능을 쓰는 기업이라면은 패치 사항을 적용 시켜 취약점 문제를 해결하는 것이 가장 좋은 방법일 것입니다. 이러한 제로데이 공격으로 부터 보호하기 위해 다음과 같은 보안 권장 사항을 권고합니다. 

CVE-2024-3400 제로데이 취약점에 대한 보안 권장 사항 

• 팔로알토 방화벽을 쓰는 기업이라면은 GlobalProtect 기능을 꼭 써야하는지 위험 사항을 체크해봐야 합니다. 

• 방화벽 접근권한을 최소화 및 방화벽 정책을 최적화 시켜야 합니다. 

• 공용계정은 사용하지 않도록 합니다. 

• 이번 취약점 침해지표를 적용시켜 차단 시켜두어야 할 것입니다. 해당 URL 공유(https://unit42.paloaltonetworks.com/cve-2024-3400/)