시스코, Unified CM 치명적 결함과 PoC 악용 코드 경고
취약점 개요
Cisco는 공격자가 루트 권한을 획득할 수 있는 치명적인 심각도의 Unified Communications Manager (Unified CM) 취약점을 패치하기 위해 보안 업데이트를 발표했습니다. 이 취약점(CVE‑2026‑20230)은 복잡도가 낮은 서버‑사이드 요청 위조(SSRF) 공격을 통해 사전 권한 없이 원격으로 악용될 수 있습니다.
악용 세부 정보
“공격자는 영향을 받는 장치에 조작된 HTTP 요청을 전송함으로써 이 취약점을 악용할 수 있습니다. 성공적인 악용은 공격자가 기본 운영 체제에 파일을 기록하게 하여 이후 루트 권한으로 상승시킬 수 있게 합니다.” – Cisco Security Advisory
Cisco는 이 권고에 Security Impact Rating (SIR) = Critical 등급을 부여했으며, 악용 시 루트 권한 상승이 발생할 수 있기 때문입니다.
Cisco 제품 보안 사고 대응 팀(PSIRT)은 CVE‑2026‑20230에 대한 공개된 PoC(Proof‑of‑Concept) 코드가 존재함을 인지하고 있지만, 현재까지 활발한 악용 사례는 관찰되지 않았습니다.
영향을 받는 시스템 및 탐지
이 취약점은 WebDialer 서비스가 활성화된 시스템에만 영향을 미칩니다. WebDialer는 기본적으로 비활성화되어 있습니다.
WebDialer가 활성화되어 있는지 확인하려면:
- Cisco Unified CM Administration에 로그인합니다.
- Cisco Unified Serviceability로 이동한 뒤 Go를 클릭합니다.
- Tools > CTI Services 메뉴에서 Control Center – Feature Services 아래 서비스 상태를 확인합니다.
완화 및 패치
- 패치: 가능한 한 빨리 Cisco Unified CM 14SU6 또는 15SU5(2026년 9월 이후) 버전을 설치하십시오.
- 임시 완화: 패치를 적용할 때까지 WebDialer 서비스를 비활성화하십시오.
WebDialer 비활성화
- Cisco Unified CM Administration 인터페이스에 로그인합니다.
- Navigation 메뉴에서 Cisco Unified Serviceability를 선택하고 Go를 클릭합니다.
- Tools 메뉴에서 Service Activation을 선택합니다.
- CTI Services 섹션에서 Cisco WebDialer Web Service 체크를 해제하고 Save를 클릭합니다.
관련 Cisco 취약점
- CVE‑2026‑20045 – 제로데이 원격 코드 실행 공격으로 활발히 악용된 또 다른 치명적인 Unified CM 취약점. 자세히 보기
- CVE‑2024‑20253 – 위협 행위자가 루트 접근을 얻을 수 있게 만든 결함. 자세히 보기
- Unified CM 백도어 계정 – Cisco가 제거한 취약점으로, 패치되지 않은 장치에서 원격 공격자가 루트 접근을 할 수 있었습니다. 자세히 보기
추가 배경
지난 5년간 미국 사이버보안 및 인프라 보안청(CISA)은 91개의 Cisco 취약점을 실제 악용 사례가 있는 것으로 분류했으며, 그 중 6개는 랜섬웨어 공격에 사용되었습니다. See CISA catalog