기술 설명
Palo Alto Networks PAN-OS 소프트웨어의 User-ID Authentication Portal(Captive Portal) 서비스의 중요한 버퍼 오버플로우 취약점으로 인해 인증되지 않은 공격자가 특수하게 조작된 패킷을 통해 PA-Series 및 VM-Series 방화벽에서 루트 권한으로 임의의 코드를 실행할 수 있습니다. CISA는 신뢰할 수 없는 IP 주소 및 공인 인터넷에 노출된 포털을 대상으로 하는 활성 악용을 확인했으며, 연방 기관을 위한 2026년 5월 9일 수정 기한으로 취약점을 Known Exploited Vulnerabilities 카탈로그에 추가했습니다.
공격 경로
User-ID Authentication Portal에 조작된 패킷을 통한 인증되지 않은 원격 코드 실행. 사용자 상호 작용이 필요하지 않습니다. 포털이 인터넷에 노출된 경우 CVSS 점수 9.3, 신뢰할 수 있는 네트워크로 제한된 경우 8.7.
영향받는 시스템
User-ID Authentication Portal이 활성화된 상태로 구성된 PA-Series 및 VM-Series 방화벽의 PAN-OS 버전 10.2, 11.1, 11.2 및 12.1. Shadowserver 스캔에 따르면 현재 온라인에 노출된 5,800개 이상의 PAN-OS VM-Series 방화벽.
완화 방안
Palo Alto Networks는 2026년 5월 13일부터 패치를 출시하며 2026년 5월 28일까지 전체 배포를 완료합니다. 즉시 완화 조치: User-ID Authentication Portal 액세스를 신뢰할 수 있는 영역으로만 제한하거나, 운영상 필요하지 않은 경우 포털을 완전히 비활성화합니다. PAN-OS 11.1+ 용 Threat Prevention Signature는 2026년 5월 5일에 출시되었습니다.