고객지원

보안 권고문

㈜아이온시큐리티에서 서비스 이용 고객님들의 안정적인 시스템 운영을 위해
필수적인 주요 보안 조치 사항을 안내해드립니다.

VPN 제품 취약점 보안 업데이트 권고 관리자 2019-08-01 07:35:59

 개요
  o 
팔로알토포티넷펄스시큐어 社는 자사의 VPN(Viture Private Network) 제품에서 발생하는 취약점을 해결한 보안
 
업데이트 발표
 o 
해당 제품을 사용하는 이용자들은 취약점을 악용한 피해가 발생할 수 있으므로최신 버전으로 업데이트 권고

 
 설명
  o 
팔로알토의 GlobalProtect portal  Gateway에서 파라미터에 대한 검증이 미흡하여 발생하는 원격코드 실행
 
취약점(CVE-2019-1579) [1]
  o 
포티가드의 FortiOS SSL VPN 웹에서 HTTP 패킷에 대한 처리가 미흡하여 발생하는 정보노출 취약점(CVE-2018-13379)
  [2]
 o 
펄스시큐어의 Pulse Connect Secure(PCS)에서 접근통제가 미흡하여 원격의 공격자가 임의 파일을 읽을 수 있는
취약점(CVE-2019-11510)  15 [3]
 o 
펄스시큐어의 Pulse Policy Secure(PPS)에서 인증되지 않은 사용자가 원격에서 세션 탈취가 가능한 취약점(CVE-2019-
 11540) 
 4 [3]

 영향을 받는 버전 및 제품
  o 
팔로알토

제품명

버전

심각도(CVSS V3)

GlobalProtect

portal/Gateway

PAN OS 7.1.18 및 이전 버전

8.1(HIGH)

PAN OS 8.0.11-h1 및 이전 버전

PAN OS 8.1.2 및 이전 버전

 PAN-OS 9.0 버전은 영향받지 않음


포티가드

제품명

버전

심각도(CVSS V3)

FortiOS

5.6.3 ~ 5.6.7 버전

7.5(HIGH)

6.0.0 to 6.0.4 버전

 SSL VPN 서비스 항목이 활성화된 경우에만 영향 받음

  o 
펄스시큐어

 이 외 13개 취약점은 제조사 홈페이지를 참고하여 확인

 해결 방안
 o 
제조사 문의 또는 제조사 홈페이지를 방문하여 보안 업데이트 수행
  - (
팔로알토) GlobalProtect portal  Gateway
   
 PAN-OS 7.1.19 이상 버전으로 업데이트
   
 PAN-OS 8.0.12 이상 버전으로 업데이트
   
 PAN-OS 8.1.3 이상 버전으로 업데이트

   - (
포티가드) FortiOS
   
 5.6.8, 6.0.5, 6.2.0 버전으로 업데이트

   - (
펄스시큐어) Pulse Connect Secure  Pulse Policy Secure
   
 Pulse Connect Secure

제품명

버전

CVE

심각도(CVSS V3)

Pulse Connect Secure

9.0RX,

8.3RX

8.2RX

CVE-2019-11510

8.8(HIGH)

Pulse Connect Secure:

9.0RX

8.3RX

CVE-2019-11540

9.8(CRITICAL)

Pulse Policy Secure

9.0RX

5.4RX

    Pulse Connect Secure

취약 버전

최신 버전

Pulse Connect Secure 9.0RX

Pulse Connect Secure 9.0R3.4 & 9.0R4

Pulse Connect Secure 8.3RX

Pulse Connect Secure 8.3R7.1

Pulse Connect Secure 8.2RX

Pulse Connect Secure 8.2R12.1

Pulse Connect Secure 8.1RX

Pulse Connect Secure 8.1R15.1

취약 버전

최신 버전

Pulse Policy Secure 9.0RX

Pulse Policy Secure 9.0R3.2 & 9.0R4

Pulse Policy Secure 5.4RX

Pulse Policy Secure 5.4R7.1

Pulse Policy Secure 5.3RX

Pulse Policy Secure 5.3R12.1

Pulse Policy Secure 5.2RX

Pulse Policy Scure 5.2R12.1

Pulse Policy Secure 5.1RX

Pulse Policy Secure 5.1R15.1


 기타 문의사항
한국인터넷진흥원 인터넷침해대응센터국번없이 118

[
참고사이트]
[1] https://securityadvisories.paloaltonetworks.com/(X(1)S(klphdezgerjfyhnvfqkwlgqu))/Home/Detail/158?AspxAutoDetectCookieSupport=1
[2] https://fortiguard.com/psirt/FG-IR-18-384
[3] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101


첨부 파일 :