it

Cisco, 활발히 악용되는 SD‑WAN 관리자 취약점에 보안 업데이트 출시

발행: (2026년 6월 16일 PM 03:05 GMT+9)
5 분 소요
원문: The Hacker News

출처: 해커 뉴스

![cisco- flaw.jpg](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj- vJIadGle0Cre1cNAxZIcD9ktkl1mPnUwtEtF1xuMbeH75BnvGq3twL0W2OowYW7ZZMxvzMjdbU-VMEZfEvV1q2pTIoG8VU_D0d_ rpRqwlViZqUyb1WKcL6pM9Nklx_mISZR2BttoBxMq8w6Z87rf3Stm37ZbcRbAYM0SQeEJqg0T8dc2KsrX1a9l95B7/s1700-e365/ cisco- flaw.jpg)

Cisco는 카탈리스트 SD‑WAN 매니저에 대한 중간 수준의 보안 취약점에 대해 보안 업데이트를 출시했으며, 이 취약점은 실제 환경에서 활발히 악용되고 있습니다.

이 취약점은 CVE-2026-20262로 추적되며, CVSS 점수는 10.0점 만점에 6.5점입니다.

“Cisco Catalyst SD‑WAN Manager의 웹 UI에 취약점이 있어, 인증된 원격 공격자가 영향을 받은 시스템의 파일 시스템 상의 파일을 생성하거나 임의의 파일을 덮어쓸 수 있습니다,” Cisco 고 말했습니다.

이 문제의 원인은 사용자 입력에 대한 파일 업로드 과정에서의 충분한 검증이 부족해서 발생했으며, 공격자는 crafted HTTP 요청을 통해 영향을 받은 API 엔드포인트에 전송함으로써 시스템의 기본 운영 체제 상의 파일을 생성하거나 덮어쓸 수 있습니다. 이를 통해 공격자는 루트 권한을 획득할 수 있으며, 성공적인 악용에는 이미 최소 쓰기 액세스 권한을 가진 유효한 자격 증명을 보유한 공격자가 필요합니다.

이 취약점은 배포 방식에 관계없이 다음과 같은 제품을 영향을 미칩니다:

  • Cisco Catalyst SD‑WAN 매니저 온프레미스
  • Cisco SD‑WAN 클라우드 프로
  • Cisco SD‑WAN 클라우드 (Cisco 관리형)
  • Cisco SD‑WAN 정부용 (FedRAMP)

패치를 통해 문제를 해결했습니다:

  • Cisco Catalyst SD‑WAN 릴리스 20.9.9.1 및 이전 버전 – 20.9.9.2에서 수정
  • Cisco Catalyst SD‑WAN 릴리스 20.12.7.1 및 이전 버전 – 20.12.7.2에서 수정
  • Cisco Catalyst SD‑WAN 릴리스 20.15.4.4 및 이전 버전 – 20.15.4.5에서 수정
  • Cisco Catalyst SD‑WAN 릴리스 20.15.5.2 및 이전 버전 – 20.15.5.3에서 수정
  • Cisco Catalyst SD‑WAN 릴리스 20.18.3 – 20.18.3.1에서 수정
  • Cisco Catalyst SD‑WAN 릴리스 26.1.1.1 및 이전 버전 – 26.1.1.2에서 수정

Cisco는 “2026년 6월 이 취약점의 제한적 악용을 인지하게 되었다”고 밝혔으며, 이는 내부 보안 테스트를 통해서 발견된 것이라고 덧붙였습니다.

회사는 악성 활동과 관련된 지표로 알려진 로그 파일인 “/var/log/nms/vmanage-server.log”을 검토해 의심스러운 WAR 파일 업로드를 확인하라고 고객에게 권고했습니다.

  1. 2026년 6월 11일 03:53:37 EDT INFO [a66cdc5f-807d-4c23-944e-5c809a2ece6b] [server] [SdraAnyConnectFileUploadHandler] (default task-40704) |default| 원격 액세스 Anyconnect 프로파일 파일: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war를 vManage에 업로드.

![ai-d.jpg](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFlTC7RrRZGiFAgASS0noWSL0qsQGFVp8-Hvuw9yp3X3VKRuTcb5SsPX09wJzrdIM6pu1_5lS4EeZp7Sx4iYBpNJkrGnpr08yyaS1HQ5_5TxaCsP6O0OtHNuOkesn6CbNjao1GPulCJk- uljYMSfMZfBYNrngpe669t7jlRn1FqiEnXhsFD1WVkpaYIVgh/s728-e100/ ai-d.jpg)

다른 지표로는 악성 코드 배포 시도 및 그와 상호작용하는 행위가 포함되지만, Cisco는 이러한 내용이 모든 사건 로그에 일관되게 나타날 수 있다고 경고했습니다.

/var/log/nms/vmanage-appserver.log: 2026-06-11T07:52:55,275 UTC INFO [server] (DeploymentScanner-threads - 2) WFLYSRV0010: “suspicious.war” 배포 (runtime-name : “suspicious. war”)

  • /var/log/nms/containers/service-proxy/serviceproxy-access.log: [2026-06-11T07:57:33.635Z] “POST /suspicious/index.jsp HTTP/1.1” 200 - 267 76 17 - “1.1.1.54” “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0” “d7336b83-422b-4000-93e1-0296f102bbed” “1.1.1.4:8443” “127.0.0.1:8080”

CVE-2026-20262는 여덟 번째 보안 취약점 중 하나로, Cisco SD‑WAN을 대상으로 올해만 flagged(지적)로 활발히 악용되고 있으며, CVE-2026-20245, CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 및 CVE-2022-20775 중 일부는 고급 지속 위협(APT) 액터인 UAT-8616에归因됩니다.

이 상황은 미국 사이버 보안 및 인프라 보안국(CISA)이 이 취약점을 자체 Known Exploited Vulnerabilities(KEV) 카탈로그에 추가하도록 촉구했으며, 연방 민간 행정부(FCEB) 기관들은 2026년 6월 29일까지 수정을 적용해야 합니다.

이 기사가 흥미로웠다면 Google News, TwitterLinkedIn을 팔로우해 최신 독점 콘텐츠를 확인하세요.

0 조회
#it #security #cybersecurity
원문 보기
Share:
Back to Blog

관련 글

더 보기 »