SD-WAN CVE-2026-20127 취약점

Cisco Systems의 Cisco Catalyst SD-WAN Controller 및 Cisco Catalyst SD-WAN Manager에서 최고 심각도 취약점(CVE-2026-20127, CVSS 점수: 10.0)이 발견되었습니다. 이 취약점을 이용하면 인증되지 않은 원격 공격자가 특수하게 조작된 요청을 취약한 시스템으로 전송하여 인증 제어를 우회하고 관리자 권한을 획득할 수 있습니다.

이 문제는 피어링 인증 메커니즘의 오류로 인해 발생하며, 공격자가 내부의 높은 권한을 가진 비루트 사용자로 로그인할 수 있도록 허용합니다. 이러한 접근 권한을 통해 공격자는 NETCONF 서비스와 상호 작용하고 SD-WAN 패브릭 구성을 조작하여 기업 네트워크의 무결성과 가용성을 손상시킬 수 있습니다.

영향을 받는 배포 모델

이 취약점은 구성과 관계없이 여러 배포 모델에 영향을 미칩니다.

• 온프레미스 배포
• 시스코 호스팅 SD-WAN 클라우드
• 시스코 호스팅 SD-WAN 클라우드 – 시스코 관리형
• 시스코 호스팅 SD-WAN 클라우드 - FedRAMP 환경

공용 인터넷에 노출된 시스템, 특히 개방형 포트가 있는 시스템은 해킹 위험이 상당히 높습니다.

활발한 공격 및 위협 행위자 활동

보안 연구원들은 2023년부터 활발한 공격 활동이 지속되고 있음을 확인했습니다. 이 캠페인은 UAT-8616이라는 명칭으로 추적되고 있으며, 고도화된 위협 클러스터로 평가됩니다. 증거에 따르면 해당 그룹은 이 제로데이 취약점을 이용하여 시스코 SD-WAN 환경에 침투하고 지속적인 관리자 권한을 획득한 것으로 나타났습니다.

공격 방식에는 SD-WAN 관리 또는 제어 평면에 참여하는 악성 피어를 생성하는 것이 포함됩니다. 이 악성 장치는 합법적이지만 임시적인 SD-WAN 구성 요소처럼 보이며 관리 인프라 내에서 신뢰할 수 있는 상호 작용을 가능하게 합니다.

공격자들은 인터넷에 연결된 애플리케이션을 처음으로 침해한 후, 내장된 업데이트 메커니즘을 악용하여 소프트웨어 버전을 다운그레이드했습니다. 이 다운그레이드를 통해 Cisco SD-WAN 소프트웨어 CLI의 심각도 높은 권한 상승 취약점인 CVE-2022-20775(CVSS 점수: 7.8)를 악용할 수 있습니다. 루트 권한을 획득한 후, 공격자들은 탐지를 최소화하기 위해 시스템을 원래 소프트웨어 버전으로 복원합니다.

UAT-8616에 기인한 침해 후 조치에는 다음이 포함됩니다.

• 합법적인 계정과 유사하게 설계된 로컬 사용자 계정 생성

이러한 활동은 고도화된 공격자들이 중요 인프라 부문을 포함한 고부가가치 환경에 영구적인 발판을 마련하기 위해 네트워크 에지 인프라를 표적으로 삼는 광범위한 추세를 반영합니다.

패치 및 복구 지침

Cisco는 여러 소프트웨어 라인에 걸쳐 수정 사항을 배포했습니다. 취약한 버전을 사용 중인 조직은 다음을 포함하여 수정된 버전으로 업그레이드해야 합니다.

• 20.9.1 이전 버전: 수정된 릴리스로 마이그레이션하세요.
• 20.9: 20.9.8.2 버전으로 업그레이드
• 20.11.1: 20.12.6.1로 업그레이드
• 20.12.5: 20.12.5.3으로 업그레이드
• 20.12.6: 20.12.6.1 버전으로 업그레이드
• 20.13.1, 20.14.1, 20.15 버전 사용자는 20.15.4.2 버전으로 업그레이드하십시오.
• 20.16.1 및 20.18 버전: 20.18.2.1 버전으로 업그레이드하세요

패치 적용 외에도 조직에서는 포렌식 검증을 수행해야 합니다. 권장 조치에는 /var/log/auth.log 파일에서 알 수 없는 IP 주소에서 'Accepted publickey for vmanage-admin'을 참조하는 항목을 검토하는 것이 포함됩니다. 의심스러운 IP 주소는 Cisco Catalyst SD-WAN Manager 웹 UI의 장치 > 시스템 IP에 나열된 구성된 시스템 IP 주소와 대조해야 합니다.

잠재적인 성능 저하 또는 예기치 않은 재부팅 이벤트를 감지하려면 다음 로그 파일을 분석해야 합니다.

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

연방 정부의 의무 사항 및 규제 대응

사이버보안 및 인프라 보안국(CISA)은 해당 취약점의 악용 사례가 확인됨에 따라 CVE-2026-20127과 CVE-2022-20775를 알려진 악용 취약점(KEV) 목록에 추가했습니다. 연방 민간 행정부 기관은 24시간 이내에 이러한 취약점을 해결해야 합니다.

CISA는 또한 'Cisco SD-WAN 시스템의 취약점 완화'라는 제목의 긴급 지침 26-03을 발표했습니다. 이 지침은 연방 기관이 범위 내 모든 SD-WAN 자산을 목록화하고, 보안 업데이트를 적용하고, 침해 징후를 평가하도록 의무화합니다.

규정 준수 기한을 준수하려면 기관은 다음 사항을 이행해야 합니다.

• 대상 SD-WAN 시스템 전체 목록을 2026년 2월 26일 오후 11시 59분(미국 동부시간)까지 제출하십시오.
• 영향을 받는 제품 목록과 시정 조치에 대한 자세한 내용을 2026년 3월 5일 오후 11시 59분(미국 동부시간)까지 제출하십시오.
• 모든 환경 강화 조치를 2026년 3월 26일 오후 11시 59분(미국 동부시간)까지 보고하십시오.

이러한 동향은 SD-WAN 환경을 표적으로 하는 고도화된 지속적 위협(APT)을 완화하기 위해 네트워크 에지 인프라에 대한 사전 예방적 패치 관리, 지속적인 모니터링 및 방어 강화가 시급히 필요함을 강조합니다.