만디언트가 현장에서 발견한 CVE-2026-20245는 netadmin 권한으로 루트 탈취가 가능한 시스코 SD-WAN 매니저 제로데이다. 패치도 우회 방법도 없는 상태에서 제한적 실제 공격이 확인됐다. CVSS 7.8, 탐지 방법과 ATT&CK 매핑 포함.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 6월 4일, 시스코 제품 보안 사고 대응팀(PSIRT)은 Cisco Catalyst SD-WAN Manager에서 루트 권한 탈취가 가능한 취약점 를 공식 발표했다. 만디언트가 현장 공격 중에 먼저 발견해 보고한 이 결함은 공개 시점에 이미 실제 침해가 확인된 상태였다. 패치도, 임시 완화 조치도 없는 제로데이다.
| 구분 | 내용 |
|---|---|
| CVE | |
| CVSS | 7.8 (High) · CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 패치 여부 | 없음 · 우회 방법도 없음 (2026-06-08 기준) |
| 영향 배포 유형 | 비고 |
|---|---|
| On-Premises · Cloud-Pro | 자체 운영 환경 전부 |
| Cisco Managed Cloud · FedRAMP | 정부 클라우드 포함 |
Cisco Catalyst SD-WAN Manager(구 vManage)는 수천 대 규모의 SD-WAN 장비를 단일 화면에서 감시·관리하는 중앙 제어 서버다. 이 서버 한 곳이 침해되면 전체 SD-WAN 패브릭에 설정 변경을 일괄 배포할 수 있다. 지점 간 트래픽 정책, 암호화 키, 인증 설정이 한 번에 공격자 손에 넘어간다는 의미다.
의 CVSS 벡터는 AV:L·PR:L로 로컬 접근 + 낮은 권한(netadmin 계정)을 전제한다. 인터넷에서 직접 탈취하는 결함이 아니라, 이미 netadmin 수준의 접근을 확보한 공격자가 루트로 권한을 상승시키는 경로다. 따라서 이 취약점은 단독으로 작동하기보다 초기 발판을 마련하는 다른 경로와 연계해 악용될 가능성이 높다.
시스코 공식 권고에 따르면, SD-WAN Manager CLI가 파일 인수를 처리할 때 사용자 입력을 충분히 검증하지 않는 구조적 결함이 근원이다. netadmin 권한을 가진 인증된 공격자가 조작된 파일을 업로드하면, 이 파일이 CLI 파싱 과정에서 명령 인젝션을 유발해 루트 사용자 권한으로 임의 명령이 실행된다.
시스코 권고는 "취약점을 성공적으로 악용한 공격자는 영향 받은 시스템에서 명령 인젝션 공격을 수행하고 루트 사용자로 권한을 상승시킬 수 있다"고 명시한다.
만디언트는 현장 침해 조사 중 이 취약점을 먼저 발견해 시스코에 보고했고, 시스코 PSIRT는 6월 4일 권고를 공개했다. 공개 시점에 이미 제한적 실제 악용이 확인된 상태였으며, 공격자들이 엣지 장비 설정 변경, 즉 vSmart 컨트롤러 시리얼 번호 기반 테넌트 목록 업로드를 통해 트래픽 정책·인증 설정을 수정한 사례가 포함된다.
이 취약점은 로컬 접근 + netadmin 권한을 전제하므로, 공격자는 또는 같은 선행 취약점이나 크리덴셜 탈취를 통해 초기 발판을 먼저 확보한 뒤 연결하는 방식으로 분석된다.
이 공격은 /var/log/scripts.log에 흔적을 남길 수밖에 없다. 명령 인젝션 후 테넌트 목록 업로드 스크립트(/usr/bin/vconfd_script_upload_tenant_list.sh)가 실행될 때 로그 항목이 생성되기 때문이다. 시스코 PSIRT가 확인한 실제 공격 사례에서도 이 스크립트 실행 흔적이 핵심 지표로 관측됐다.
모니터링 포인트:
/var/log/scripts.log 내 의심 파일 업로드 항목"Tenant list upload per vsmart serial number" 패턴 포함 로그 항목ATT&CK 매핑 (추정):
| 기법 ID | 기법명 | 적용 |
|---|---|---|
| T1068 | Exploitation for Privilege Escalation | CLI 명령 인젝션 → 루트 상승 |
| T1059.004 | Unix Shell | 임의 셸 명령 실행 |
| T1565.001 | Stored Data Manipulation | 엣지 장비 설정 변경 배포 |
공식 MITRE Groups 매핑은 미공개 상태로, 위 매핑은 공개 권고 기반 추정이다.
국내 기업 환경에서도 Cisco Catalyst SD-WAN(구 vManage)은 멀티 지점·클라우드 연결 인프라로 금융권과 제조업을 중심으로 광범위하게 운용되고 있다. 이 취약점은 단독으로 성립하지 않고 netadmin 수준의 선행 접근을 전제하므로, 연쇄의 첫 고리가 되는 · 같은 선행 취약점이 실질적 위험의 관문이 된다. 초기 접근 경로가 닫혀 있을수록 이 결함의 연쇄 악용 여지도 그만큼 좁아지는 구조다. 또한 시스코가 확인한 실제 공격에서 admin-tech 진단 파일이 침해 증거의 핵심으로 관측됐다는 점은, 시스템 재부팅 시 이 흔적이 사라질 수 있다는 의미이기도 하다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.