기술 설명
Palo Alto Networks PAN-OS 소프트웨어의 User-ID Authentication Portal(Captive Portal) 서비스의 중대한 버퍼 오버플로우 취약점은 인증되지 않은 공격자가 특수하게 조작된 패킷을 통해 PA-Series 및 VM-Series 방화벽에서 루트 권한으로 임의 코드를 실행하도록 허용합니다. CISA는 신뢰할 수 없는 IP 주소 및 공개 인터넷에 노출된 포털을 대상으로 하는 활성 악용을 확인했으며, 연방 기관을 위한 2026년 5월 9일 해결 마감일로 이 취약점을 Known Exploited Vulnerabilities 카탈로그에 추가했습니다.
공격 경로
User-ID Authentication Portal로의 조작된 패킷을 통한 인증되지 않은 원격 코드 실행. 사용자 상호작용 필요 없음. 포털이 인터넷 노출된 경우 CVSS 점수 9.3, 신뢰할 수 있는 네트워크로 제한된 경우 8.7.
영향받는 시스템
User-ID Authentication Portal이 활성화된 상태로 구성된 PA-Series 및 VM-Series 방화벽의 PAN-OS 버전 10.2, 11.1, 11.2 및 12.1. Shadowserver 스캔에 따르면 현재 온라인에 노출된 5,800개 이상의 PAN-OS VM-series 방화벽.
완화 방안
Palo Alto Networks는 2026년 5월 13일부터 패치를 배포하며, 2026년 5월 28일까지 전체 배포됩니다. 즉각적인 완화 조치: User-ID Authentication Portal 액세스를 신뢰할 수 있는 존으로만 제한하거나, 운영상 필요하지 않은 경우 포털을 완전히 비활성화합니다. PAN-OS 11.1+용 Threat Prevention Signature는 2026년 5월 5일에 배포되었습니다.