CVE-2025-0108 탐지: Palo Alto Networks PAN-OS 소프트웨어의 인증 우회 적극적 악용

Palo Alto Networks PAN-OS에서 발견된 최근에 패치된 방화벽 취약점(CVE-2025-0108)으로 네트워크 액세스가 가능한 사이버 범죄자들이 관리 웹 인터페이스를 통해 인증을 우회하고 특정 PHP 스크립트를 실행할 수 있습니다. 비록 이로 인해 원격 악성 코드 실행에는 이르지 않지만, 이 중요한 결함은 PAN-OS 제품의 무결성과 보안에 위험을 초래할 수 있습니다. CVE-2025-0108, CVE-2024-9474 및 CVE-2025-0111을 결합하여 취약한 PAN-OS 인스턴스를 공격하려는 시도가 증가함에 따라 수비 측의 신속한 대응이 요구됩니다.

CVE-2025-0108 악용 시도 탐지

GitHub에 따르면 2024년 말까지 하루 평균 115개의 CVEs가 공개되었으며, 2024년 3분기 동안 취약점을 활용한 사이버 공격이 124% 증가했습니다. 따라서 취약점 악용의 사전 탐지는 전 세계 사이버 수비자들에게 가장 중요한 사용 사례 중 하나로 남아 있습니다.

SOC Prime 플랫폼 은 집단적인 사이버 방어를 위해 광범위한 취약점 악용 대응 Sigma 규칙 모음을 제공하며, 자동화된 위협 사냥, AI 기반 탐지 엔지니어링, 정보 기반 위협 탐지 등 완벽한 제품군을 지원합니다. CVE-2025-0108을 탐지하는 Sigma 규칙도 리스트에 포함되어 있어, 아래에서 이 컨텐츠의 전모를 확인할 수 있습니다:

웹 서버를 통한 CVE-2025-0108 (PAN-OS 인증 우회) 악용 시도 가능성

SOC Prime 팀의 이 규칙은 공개적으로 접근 가능한 PoC 익스플로잇에 기반하여 CVE-2025-0108을 활용한 공격을 탐지하여 목표 시스템에 초기 접근을 얻는 데 도움을 줍니다. 이 탐지는 22개의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, 초기 접근 전술을 다루는 MITRE ATT&CK에 매핑되어 있으며 주요 기법으로 공개된 애플리케이션 익스플로잇(T1190)을 사용합니다.

Sigma 규칙 보기

가장 최근 공격에서 벤더는 CVE-2025-0108이 CVE-2024-9474와 연결되어 사용되는 것을 관찰했으므로, 보안 전문가들은 이의 악용을 다루는 규칙 모음을 검토할 수 있습니다. 이러한 규칙들은 주로 CVE-2024-9474와 다른 인증 우회 취약점(CVE-2024-0012)을 연결하여 인터넷에 노출된 Palo Alto Networks 방화벽을 손상시킨 최근 캠페인을 참고로 합니다. Sigma 규칙 세트를 확인해 보세요 여기.

게다가, 보안 전문가들은 위협 탐지 마켓플레이스에서 ‘CVE’ 태그로 탐지 컨텐츠를 필터링하여 취약점 악용을 다루는 전체 규칙 모음을 검토할 수 있습니다. “CVE” 태그.

CVE-2025-0108 분석

Palo Alto Networks 는 해커들이 CVE-2025-0108 을(를) 현장 공격에 신속하게 활용하고 있다고 경고합니다. 이 문제는 PAN-OS 버전 10.2.14, 11.0.7, 11.2.5 및 모든 후속 릴리스에서 해결되었습니다. 2월 12일 업데이트 및 완화 조치와 함께 발표된 최근 수정된 방화벽 버그는 CVSS 점수 8.8에 도달하며, 인증되지 않은 사용자가 PAN-OS 관리자 인터페이스에 접근하고 PHP 스크립트를 실행할 수 있게 합니다. 방어 팀은 2월 13일 첫 악용 시도를 발견했으며, 이 활동을 악성으로 플래그했으며 이미 30개의 고유 IP가 손상되었습니다.

특히, CVE-2025-0108은 CVE-2024-9474와 연결되어 RCE를 달성할 수 있습니다. 이 후자의 취약점도 패치되었으며, CVE-2024-0012와 함께 악용되고 있는 것으로 확인되었습니다. Shadowserver Foundation은 공개 PoC와 함께 “in-the-wild” 익스플로잇을 감지하였으며 중순까지 3,500개의 노출된 PAN-OS 인터페이스를 보고하였습니다. 2월

CVE-2025-0108의 침입 위험을 줄이기 위한 가능한 완화 권장 사항으로 각 조직은 최신 수정 버전을 설치하고 관리 인터페이스 접근을 점프 박스 또는 신뢰할 수 있는 내부 IP로 제한할 것을 권장합니다. 이를 통해 SOC Prime 플랫폼 집단 사이버 방어를 위해