Cisco Catalyst SD‑WAN Manager, CVE‑2026‑20245 취약점이 활발히 악용 중 – 패치 아직 없음
출처: The Hacker News
Ravie Lakshmanan2026년 6월 6일 취약점 / 네트워크 보안
Cisco는 Catalyst SD‑WAN Manager에 영향을 주는 고위험 보안 결함이 현재 활발히 악용되고 있다고 경고했습니다.
이 취약점은 CVE‑2026‑20245 로 추적되며, CVSS 점수는 10점 만점에 7.8점입니다. 다음 배포 유형에 영향을 미칩니다.
- 온프레미스 배포
- Cisco SD‑WAN Cloud‑Pro
- Cisco SD‑WAN Cloud (Cisco Managed)
- Cisco SD‑WAN for Government (FedRAMP)
Cisco는 자사 권고문에서 “Cisco Catalyst SD‑WAN Manager(이전 명칭 SD‑WAN vManage)의 CLI에 존재하는 취약점으로, 인증된 로컬 공격자가 조작된 파일을 시스템에 제공하면 루트 권한으로 임의 명령을 실행할 수 있다”고 밝혔습니다(자세히 보기).
네트워크 보안 업체는 이 취약점이 사용자 입력에 대한 검증 부족으로 발생했으며, 공격자는 조작된 파일을 업로드함으로써 이를 악용할 수 있다고 설명했습니다. 이를 통해 공격자는 명령 주입 공격을 수행하고 루트 사용자 권한으로 권한을 상승시킬 수 있습니다.
Cisco는 “이 취약점을 악용하려면 공격자는 대상 시스템에 netadmin 권한을 보유해야 한다”고 덧붙였습니다. “이는 유효한 자격 증명이 필요하거나 CVE‑2026‑20182 혹은 CVE‑2026‑20127 을 이용한 악용이 선행되어야 함을 의미한다. Cisco는 다른 방법으로 성공적인 악용 사례를 확인하지 못했다”고 전했습니다.
CVE‑2026‑20182( CVSS 점수: 10.0 )는 지난달 Rapid7이 공개했으며, 인증 우회 취약점으로 인증되지 않은 원격 공격자가 대상 시스템에서 관리 권한을 획득할 수 있다고 설명했습니다. 이 취약점은 동일 구성 요소에 영향을 주는 CVE‑2026‑20127 과 유사한 것으로 평가됩니다.
두 취약점 모두 제로데이로 악용된 사례가 있으며, 2023년까지 거슬러 올라가는 CVE‑2026‑20127 악용과 연관된 위협 활동 클러스터가 UAT‑8616 으로 명명되었습니다.
Cisco는 목요일에 발표한 권고문에서 CVE‑2026‑20245 악용으로 인해 엣지 장치에 구성 변경이 푸시된 사례가 제한적으로 관찰됐다고 밝혔습니다. 또한 Google Mandiant 연구원 Chester Sng, Pete Boonyakarn, Logeswaran Nadarajan 이 새로운 취약점을 발견·보고한 공로를 인정했습니다. 현재 최신 악용 시도를 주도한 주체는 확인되지 않았습니다.
현재 CVE‑2026‑20245 에 대한 패치나 완화 조치는 제공되지 않고 있습니다. 고객은 2026년 5월 14일에 발표된 CVE‑2026‑20182 에 대한 수정 사항이 포함된 SD‑WAN 소프트웨어로 업그레이드할 것을 권고합니다.
Cisco는 또한 인터넷에 노출된 시스템이 침해 위험이 크게 증가했다고 경고했습니다. 침해 지표(IoC)를 확인하려면 “/var/log/scripts.log” 파일에 아래와 같은 항목이 있는지 점검하라고 안내합니다.
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
Jun 5 13:06:39 Manager vScript: vSmart upload serial numbers: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
Jun 5 13:08:47 Validator vScript: ZTP upload chassis numbers: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csvCVE‑2026‑20245 는 올해만 해도 Cisco SD‑WAN 에 영향을 주는 일곱 번째 취약점으로, 앞서 언급된 CVE‑2026‑20182, CVE‑2026‑20127, CVE‑2026‑20122, CVE‑2026‑20128, CVE‑2026‑20133, 그리고 CVE‑2022‑20775 에 이어 플래그가 지정되었습니다.
이번 공개는 Cisco가 Unified Communications Manager 에서 또 다른 고위험 보안 결함(CVE‑2026‑20230, CVSS 점수: 8.6) 을 해결한 지 며칠 만에 이루어졌으며, 해당 결함에 대한 PoC(Proof‑of‑Concept) 코드가 공개됐다고 밝힌 것과 맞물립니다. 현재 이 취약점이 활발히 악용되고 있다는 증거는 없습니다.
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn 을 팔로우하세요.