CVE-2026-20230은 Cisco CUCM WebDialer SSRF 취약점으로 무인증 공격자가 아파치 Axis 체인을 통해 웹셸을 투하한다. CVSS 8.6, CISA KEV 등재, 패치 버전 14SU6/15SU5.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
CVE-2026-20230이 공개된 지 18시간이 지나지 않아, 위협 인텔리전스 업체 Defused의 Cisco CUCM 허니팟에 웹셸 투하를 시도하는 공격이 관측됐다. PoC가 공개된 2026년 6월 22일 새벽의 일이다. 공격자들은 SSRF 취약점 을 이용해 WebDialer 엔드포인트에 접근하고, 아파치 Axis SOAP 체인을 거쳐 명령 실행 웹셸을 서버에 심었다. CISA는 6월 25일 이 취약점을 KEV 목록에 등재하고 연방 기관에 6월 28일까지 패치를 명령했다.
| 항목 | 내용 |
|---|---|
| CVE | |
| CVSS | 8.6 HIGH (Cisco SIR: Critical) |
| 영향 제품 | Cisco Unified CM / Unified CM SME |
| 공격 조건 | WebDialer 서비스 활성화 (기본 비활성) |
| 패치 버전 | 14SU6 / 15SU5 (2026-06-03 배포) |
| CISA KEV | 등재 2026-06-25 / 기한 2026-06-28 |
Cisco Unified Communications Manager(CUCM)는 기업 IP 전화 인프라를 통합 관리하는 IP 전화 플랫폼이다. 금융·통신·공공기관에서 수천 명의 내선을 처리하며 조직 네트워크 심부에 위치한다. 많은 환경에서 CUCM은 도메인 컨트롤러·액티브 디렉터리와 연동되고 음성 통화 기록을 보관한다. 침해될 경우 내선 인프라 전체가 공격자 통제하에 놓인다는 의미다.
은 그 CUCM의 WebDialer 서비스에 있는 서버 사이드 요청 위조(SSRF) 취약점이다. WebDialer는 브라우저나 데스크톱 앱에서 클릭 투 콜 기능을 제공하는 컴포넌트로, 인증 없이 HTTP 요청을 처리하는 엔드포인트를 노출한다. Cisco의 공개 벡터는 AV:N/AC:L/PR:N/UI:N이다. 네트워크에 접근 가능한 공격자가 인증·복잡한 조건·사용자 개입 없이 공격할 수 있다는 뜻이다.
Cisco가 CVSS 8.6(HIGH)과 별개로 자체 SIR을 Critical로 상향한 이유는 최종 단계에서 명령 실행 웹셸 투하로 이어지기 때문이다. WebDialer는 기본적으로 비활성 상태이지만, 클릭 투 콜 기능을 켜 놓은 기업에서는 인터넷 또는 내부망에 상시 노출돼 있다.
이 취약점의 본질은 SSRF 하나가 아니라, SSRF가 도달한 지점에 7년 묵은 컴포넌트가 그대로 남아 있었다는 데 있다. SSD Secure Disclosure의 공개 분석을 토대로 공격 체인을 개념 수준에서 정리하면 다음과 같다.
WebDialer의 무인증 엔드포인트는 SSRF 필터로 localhost·127.0.0.1 같은 내부 주소 접근을 차단한다. 그러나 공격자는 인증 없이 노출된 WSDL 디스크립터에서 CUCM 클러스터의 실제 내부 호스트명을 먼저 얻어 이 필터를 우회한다. 내부 호스트명으로 위장한 요청은 CUCM이 내부 관리 통신에 사용하는 아파치 Axis 1.4 SOAP 서비스에 도달한다.
여기서 결정적 문제가 드러난다. Axis 1.4는 2019년에 공개된 원격 코드 실행 취약점 의 대상으로, 그 핵심은 입력 검증 없이 외부에서 새로운 SOAP 서비스를 동적으로 등록할 수 있다는 것이다. CUCM 내부에 이 구버전 Axis가 그대로 남아 있었기에, SSRF로 도달한 공격자는 7년 전의 서비스 등록 악용 방식을 재현해 디스크에 임의 파일을 기록하는 서블릿을 만들 수 있다. 이 파일 쓰기 능력이 최종적으로 웹 디렉터리에 명령 실행용 JSP 웹셸을 남기는 통로가 된다. (구체적 엔드포인트·파라미터 등 재현 가능한 세부는 본 글에서 다루지 않는다.)
Cisco의 공식 권고문은 "임의 파일 쓰기 후 root 권한 상승"으로 서술하지만, SSD Secure Disclosure의 기술 분석에서 실제 명령 실행은 Tomcat 프로세스 권한으로 이뤄진다. root 상승의 정확한 경로는 공식 권고문 기준으로 추정한다. 분석가 관점의 교훈은 분명하다. CVSS 8.6짜리 SSRF가 Critical로 격상된 이유는 그 자체의 위력이 아니라, 패치되지 않은 채 내부에 방치된 2019년 컴포넌트와 연결됐기 때문이다. 공급망에 묻힌 레거시 의존성 하나가 중간 위험 취약점을 치명적 RCE로 끌어올린 전형적 사례다.
패치 배포부터 PoC 공개까지 18일, 공개부터 실제 공격까지 18시간이 걸렸다. 기업 환경에서 패치 사이클이 통상 4~6주에 달한다는 점을 고려하면, 대다수 조직에게 이 창은 충분히 좁았다. Defused 허니팟 로그에 따르면 초기 공격은 /tmp/cve-2026-20230-test.txt 파일 생성으로 PoC 동작을 확인하는 단계에 그쳤다. 6월 24일부터는 완전한 웹셸 투하 공격 체인이 관측됐다.
Dark Reading은 "24시간도 채 안 돼 공격자들이 Cisco CUCM 취약점을 무기화했다"고 보도했다. 익스플로잇이 공개되면 즉시 무기화되는 패턴, 이른바 'N-day 즉시 악용' 사례의 전형이다.
공격은 네트워크 레이어에서는 정상 HTTPS 트래픽과 구별하기 어렵다. CUCM은 일반적으로 내부망에 위치해 경계 WAF 적용이 제한적이다. WebDialer는 합법적인 HTTP 요청을 처리하는 서비스이기 때문에 요청 자체가 이상해 보이지 않는다. 공격자가 남길 수밖에 없는 흔적은 HTTP 접근 로그와 파일시스템 양쪽에 존재한다.
HTTP 접근 로그에서 잡아야 할 패턴:
파일시스템 이상 징후:
.jsp 파일 생성 (정상 패키지에 없는 신규 서블릿)ATT&CK 매핑 (공식 그룹 매핑 없음, 기술 기반 추정):
| ATT&CK 기법 | 관련 단계 |
|---|---|
| T1190 공개 서비스 익스플로잇 | WebDialer SSRF 초기 접근 |
| T1505.003 웹 셸 | axis2-web/c.jsp 투하 |
| T1059.004 Unix 셸 실행 | 웹셸 통한 명령 실행 |
Cisco CUCM은 국내 금융·통신·대기업 IT 인프라에 광범위하게 도입된 IP 전화 플랫폼이다. 클릭 투 콜 기능을 제공하는 환경이라면 WebDialer가 활성화돼 있다. 앞서 설명한 바와 같이 WebDialer 활성 상태에서 패치가 미적용된 시스템은 무인증 공격 대상이 된다. 도입 후 패치 사이클이 통상 4~6주인 점을 감안하면, PoC 공개에서 18시간 만에 무기화된 이 취약점은 이미 위험 창 안에 있다. KISA가 별도 권고를 발표하지 않았더라도, 패치 적용 전 임시 완화책으로 Cisco가 권고하는 WebDialer 서비스 비활성화를 검토할 시점이다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.