피드로 돌아가기
State-backed hackers hammer Palo Alto firewall zero-day before patch lands
The RegisterThe Register
Security

CVE-2026-0300: PAN-OS root 권한 탈취 Zero-day 분석

State-backed hackers hammer Palo Alto firewall zero-day before patch lands

2026년 5월 7일2advanced

AI 요약

Context

인터넷 노출 PAN-OS 방화벽의 Captive Portal 내 User-ID Authentication Portal에서 Memory Corruption 버그 발생. 인증되지 않은 외부 공격자가 Root 권한으로 임의 코드를 실행할 수 있는 심각한 보안 취약점 노출.

Technical Solution

  • Nginx Worker Process 내 Shellcode 주입을 통한 Remote Code Execution(RCE) 구현
  • Root 권한 획득 후 로그 및 Crash Report를 삭제하여 침해 흔적을 은폐하는 Anti-forensics 전략 수행
  • Active Directory 시스템 탐색을 통한 내부 네트워크 Lateral Movement 전개
  • 인증 트래픽 폭주를 유도해 Secondary Firewall로 페일오버를 강제한 후 추가 장비를 장악하는 가용성 취약점 연쇄 활용
  • 신뢰 네트워크 내로 접근 범위를 제한하거나 기능을 완전히 비활성화하는 임시 완화 조치 적용

실천 포인트

1. 외부 노출 인터페이스의 Memory Safety 검증 및 최소 권한 원칙 적용 여부 확인

2. Failover 발생 시 보조 장비의 보안 설정이 주 장비와 동일하게 유지되는지 검토

3. 시스템 로그의 외부 원격 저장 및 무결성 보장을 통한 침해 흔적 삭제 방지책 마련

4. Zero-day 대응을 위한 기능별 Feature Flag 기반의 즉각적인 비활성화 메커니즘 구축

태그

#Lateral Movement#Memory Corruption#PAN-OS#Zero-day#Remote Code Execution
원문 읽기