Cisco, 공격에서 적극적으로 악용되는 추가 SD‑WAN 결함을 표시

Source: Bleeping Computer

Cisco가 추가 SD‑WAN 결함을 표시

Cisco는 두 개의 추가 Catalyst SD‑WAN Manager 보안 결함이 실제 공격에서 악용되고 있다고 경고했으며, 관리자는 취약한 장치를 업그레이드할 것을 촉구했습니다.

Catalyst SD‑WAN Manager(이전 명칭 vManage)는 관리자가 단일 중앙 대시보드에서 최대 6,000대의 Catalyst SD‑WAN 장치를 모니터링하고 관리할 수 있게 해 주는 네트워크 관리 소프트웨어입니다.

“2026 년 3월에 Cisco PSIRT는 CVE‑2026‑20128 및 CVE‑2026‑20122에 설명된 취약점이 실제로 악용되고 있음을 인지했습니다,” 라고 회사는 경고했습니다.
”이 권고서에 포함된 다른 CVE에 설명된 취약점은 손상된 것으로 알려지지 않았습니다. Cisco는 고객이 이러한 취약점을 해결하기 위해 수정된 소프트웨어 릴리스를 업그레이드할 것을 강력히 권장합니다.”

• CVE‑2026‑20122 – 고위험 임의 파일 덮어쓰기. 유효한 읽기 전용 API 자격 증명을 가진 원격 공격자만 악용할 수 있습니다.
• CVE‑2026‑20128 – 중위험 정보 노출. 대상 시스템에 유효한 vManage 자격 증명을 가진 로컬 공격자가 필요합니다.

Cisco는 이러한 결함이 장치 구성에 관계없이 Catalyst SD‑WAN Manager 소프트웨어에 영향을 미친다고 밝혔습니다.

2023년 이후 악용된 SD‑WAN 제로데이

지난 주 Cisco는 중요한 인증 우회 취약점(CVE‑2026‑20127)이 최소 2023년부터 제로데이 공격에 악용되고 있다고 공개했습니다. 이 결함을 통해 고도로 정교한 위협 행위자는 컨트롤러를 장악하고 대상 네트워크에 악성 루프 피어를 추가할 수 있습니다. 이러한 루프 피어는 정상적인 것으로 보이므로 공격자는 침해된 환경 내부로 더 깊이 침투할 수 있습니다.

미국과 영국 당국의 공동 권고에 따라 CISA는 긴급 지시 26‑03을 발표했으며, 연방 기관은 다음을 수행해야 합니다:

1. Cisco SD‑WAN 시스템을 목록화합니다.
2. 포렌식 아티팩트를 수집합니다.
3. 외부 로그 저장을 보장합니다.
4. 최신 업데이트를 적용합니다.
5. CVE‑2026‑20127 및 이전 결함 CVE‑2022‑20775를 목표로 하는 공격과 연관된 잠재적 침해를 조사합니다.

보다 최근에, 수요일에 Cisco는 Secure Firewall Management Center(FMC) 소프트웨어의 두 가지 최대 심각도 취약점을 패치하는 보안 업데이트를 발표했습니다:

• CVE‑2026‑20079 – 인증 우회.
• CVE‑2026‑20131 – 원격 코드 실행(RCE)으로, 인증되지 않은 공격자가 패치되지 않은 장치에서 루트 권한으로 임의의 Java 코드를 실행할 수 있습니다.

두 결함 모두 원격으로 악용될 수 있으며, 공격자에게 기본 운영 체제에 대한 루트 수준 접근 권한을 부여합니다.