시스코, 패치되지 않은 SD‑WAN 제로데이 취약점이 공격에 악용되고 있다고 경고
목요일에 Cisco는 Cisco Catalyst SD‑WAN Manager에 대한 고위험도, 아직 패치되지 않은 제로데이(CVE-2026-20245)가 공격에 적극 활용되어 루트 권한 상승을 가능하게 한다고 경고했습니다.
이 제로데이 결함은 온프레미스 배포, Cisco SD‑WAN Cloud‑Pro, Cisco SD‑WAN Cloud(Cisco Managed), 그리고 Cisco SD‑WAN for Government(FedRAMP)를 포함한 모든 배포 유형에 영향을 미칩니다.
목요일 보안 권고에서 Cisco는 이 문제가 사용자 제공 입력에 대한 검증이 충분하지 않아서 발생했으며, 낮은 권한을 가진 로컬 공격자가 루트 권한으로 임의 명령을 실행할 수 있게 할 수 있다고 밝혔습니다.
공격자는 조작된 파일을 대상 시스템에 업로드함으로써 이 취약점을 악용할 수 있습니다. 성공적인 악용은 공격자가 대상 시스템에서 명령 주입 공격을 수행하고 루트 사용자 권한으로 권한을 상승시킬 수 있게 합니다. 회사 측 설명.
이 취약점을 악용하려면 공격자는 대상 시스템에서 netadmin 권한을 가지고 있어야 합니다. 이는 유효한 자격 증명이 있거나 CVE-2026-20182 또는 CVE-2026-20127을 이용한 경우에 해당합니다. Cisco는 다른 방법으로 성공적인 악용 사례를 알지 못하고 있습니다. 또한 이 버그 악용으로 인해 엣지 장치에 구성 변경이 푸시된 제한적인 사례를 관찰했다고 덧붙였습니다.
이전 명칭은 SD‑WAN vManage였으며, 이 네트워크 관리 소프트웨어는 관리자가 단일 대시보드에서 최대 6,000대의 Catalyst SD‑WAN 장치를 모니터링하고 관리할 수 있게 해줍니다.
Cisco의 제품 보안 사고 대응 팀(PSIRT)은 Google Cloud 사이버 보안 자회사인 Mandiant가 결함을 보고했지만 세부 정보를 공유하지 않은 후 6월에 CVE-2026-20245 악용 사실을 인지했습니다.
그럼에도 불구하고, PSIRT는 관리자에게 SD‑WAN /var/log/scripts.log 파일을 확인하도록 경고하는 지표(IOC)를 제공했습니다. 이는 정당한 명령을 통해 권한을 상승시키기 위해 vSmart 컨트롤러에 테넌트 구성 데이터를 업로드하려는 시도를 탐지하기 위한 것으로, 다음 예시와 같습니다:
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0“Cisco Catalyst SD‑WAN Manager가 침해당했는지 확인하려면 고객이 Cisco TAC에 케이스를 열 수 있습니다.”라며, 검토를 돕기 위해 먼저 admin‑tech 파일을 생성할 것을 권고했습니다.
아직 보안 패치가 제공되지 않음
지난달 Cisco는 또한 최대 심각도 Catalyst SD‑WAN Controller 인증 우회 결함 (CVE-2026-20182)을 제로데이로 적극 악용되어 패치되지 않은 장치에서 관리 권한을 얻는 사례로 지정했습니다.
Cisco는 아직 CVE-2026-20245에 대한 패치를 발표하지 않았지만, 고객에게 5월 14일에 CVE-2026-20182에 대해 수정된 소프트웨어로 업그레이드할 것을 권고했습니다.
2월에 Cisco는 또 다른 Catalyst SD‑WAN Manager 정보 누출 보안 결함(CVE-2026-20133)을 패치했으며, CISA는 이 결함을 4월 말에 활동적으로 악용되는 것으로 표시했습니다. 그리고 2주 뒤에는 CVE-2026-20128 및 CVE-2026-20122 두 개의 추가 결함이 실제 공격에 이용되고 있다고 경고했습니다.
3월에는 최소 2023