CISA, 관리자 접근 권한 악용 후 Cisco SD‑WAN CVE‑2026‑20182를 KEV에 추가

Source: The Hacker News

Ravie Lakshmanan2026년 5월 15일 취약점 / 자격 증명 도난

미국 사이버보안 및 인프라 보안청(CISA)은 목요일에 Cisco Catalyst SD‑WAN Controller에 영향을 미치는 새로 공개된 취약점을 Known Exploited Vulnerabilities (KEV) 카탈로그에 **추가**했습니다. 연방 민간 행정 부문(FCEB) 기관은 2026년 5월 17일까지 해당 문제를 해결해야 합니다.

이 취약점은 CVE‑2026‑20182 로 추적되는 심각한 인증 우회 취약점이며, CVSS 점수 10.0(최대 심각도)으로 평가되었습니다.

“Cisco Catalyst SD‑WAN Controller 및 Manager에는 인증되지 않은 원격 공격자가 인증을 우회하고 영향을 받은 시스템에서 관리자 권한을 획득할 수 있는 인증 우회 취약점이 존재합니다.”라고 CISA는 **언급**했습니다.

별도의 권고문에서 Cisco는 UAT‑8616이 CVE‑2026‑20182를 높은 신뢰도로 적극적으로 악용하고 있음을 **확인**했습니다. 이는 CVE‑2026‑20127을 이용해 SD‑WAN 시스템에 무단 접근을 시도한 동일한 위협군이었습니다.

“Cisco Talos는 ‘UAT‑8616이 CVE‑2026‑20182를 성공적으로 악용한 뒤, CVE‑2026‑20127을 악용한 동일 위협군이 수행한 것과 유사한 사후 침해 작업을 수행했다’고 밝혔습니다. ‘UAT‑8616은 SSH 키를 추가하고, NETCONF 구성을 수정하며, 루트 권한으로 상승하려 시도했습니다.’”

UAT‑8616이 활용한 인프라가 운영 릴레이 박스(ORB) 네트워크와 겹치는 것으로 평가되었으며, 사이버보안 업체는 2026년 3월부터 CVE‑2026‑20133, CVE‑2026‑20128, CVE‑2026‑20122를 악용하는 여러 위협 클러스터도 관찰했습니다.

이 세 가지 취약점을 연쇄적으로 이용하면 원격 무인증 공격자가 장치에 무단 접근할 수 있습니다. 이들 취약점은 지난달 **CISA KEV 카탈로그에 추가**되었습니다.

이 활동은 공개된 PoC(Proof‑of‑Concept) 익스플로잇 코드를 이용해 해킹된 시스템에 웹 쉘을 배포하고, 운영자가 임의의 Bash 명령을 실행하도록 합니다. JavaServer Pages(JSP) 기반 웹 쉘은 ZeroZenX Labs가 공개한 PoC를 사용했기 때문에 XenShell이라는 코드명으로 불립니다.

세 가지 결함을 악용한 것으로 확인된 위협 클러스터는 최소 10개이며, 각각 다음과 같은 웹 쉘 및 도구를 배포합니다.

• Cluster 1 (2026년 3월 6일 최소 활동 시작) – Godzilla 웹 쉘 배포
• Cluster 2 (2026년 3월 10일 최소 활동 시작) – Behinder 웹 쉘 배포
• Cluster 3 (2026년 3월 4일 최소 활동 시작) – XenShell 웹 쉘 및 Behinder 변형 배포
• Cluster 4 (2026년 3월 3일 최소 활동 시작) – Godzilla 웹 쉘 변형 배포
• Cluster 5 (2026년 3월 13일 최소 활동 시작) – AdaptixC2 레드팀 프레임워크로 컴파일된 악성 에이전트 배포
• Cluster 6 (2026년 3월 5일 최소 활동 시작) – Sliver C2 프레임워크 배포
• Cluster 7 (2026년 3월 25일 최소 활동 시작) – XMRig 채굴기 배포
• Cluster 8 (2026년 3월 10일 최소 활동 시작) – KScan 자산 매핑 도구와 Nim 기반 백도어 배포(아마도 NimPlant 기반) – 파일 작업, Bash 실행, 시스템 정보 수집 기능 포함)
• Cluster 9 (2026년 3월 17일 최소 활동 시작) – XMRig 채굴기와 피어 기반 프록시·터널링 도구 gsocket 배포(https://github.com/hackerschoice/gsocket)
• Cluster 10 (2026년 3월 13일 최소 활동 시작) – 관리자 계정 해시덤프, REST API 인증에 사용되는 JSON Web Token(JWT) 키 청크, vManage용 AWS 자격 증명을 탈취하려는 credential stealer 배포

Cisco는 고객이 위에서 언급한 취약점에 대한 권고문에 제시된 지침과 권고 사항을 따르도록 권고하고 있습니다. 이를 통해 환경을 보호하시기 바랍니다.

이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우해주세요.