CVE-2025-20352 취약점: 실제 공격에 악용 중인 Cisco IOS 및 IOS XE의 치명적 제로데이
이번 여름 Cisco ISE와 SE-PIC에서 발견된 두 가지 치명적인 RCE 취약점, CVE-2025-20281 및 CVE-2025-20282 공개 이후, 사이버 위협 환경에서 새로운 Cisco 보안 취약점이 나타났습니다. 공급업체는 최근 IOS 및 IOS XE 소프트웨어의 치명적인 제로데이 취약점을 패치하기 위한 보안 업데이트를 배포했으며, 이는 현재 공격자에 의해 실제로 악용되고 있으며 특정 상황에서 원격 코드 실행(RCE)이나 서비스 거부(DoS) 공격을 유발할 수 있습니다.
제로데이 취약점 악용 사례가 증가하고 있으며, 이를 패치할 수 있는 시간은 점점 줄어들고 있어 신속한 업데이트가 필수적입니다. 2025년 DBIR 보고서는, 공격자가 취약점을 무기화하여 시작한 침해 사건이 전년 대비 34% 증가했음을 보여주며, 악용 위험을 줄이기 위한 사전 방어 강화의 필요성을 강조합니다. Mandiant의 M-Trends 2025 보고서 역시 이러한 추세를 강력히 뒷받침하며, 5년 연속으로 취약점 악용이 초기 공격 벡터의 최상위로, 조사된 모든 침해의 33%를 차지하고 있음을 보여줍니다. 제로데이 취약점은 과거 소규모 첩보용 도구에서 기업 네트워크를 침해하는 주류 방법으로 변모했습니다.
Cisco IOS 및 IOS XE 장치에서 새롭게 발견된 적극적으로 악용되는 제로데이 취약점(CVE-2025-20352)은 RCE 및 DoS 공격을 유발할 수 있어 잠재적으로 영향을 받는 조직에 심각한 위험을 초래합니다. SOC Prime 플랫폼 등록을 통해 팀에 최첨단 사이버보안 전문 지식과 AI 기반 기업 보안 보호를 제공할 수 있습니다. SOC Prime 플랫폼은 조직이 취약점 악용 시도를 신속하게 탐지하고 사전에 방지할 수 있도록 엄선된 탐지 스택을 제공합니다. 탐지 항목 보기를 클릭하면, “CVE” 태그로 필터링된 전용 Sigma 규칙에 접근하여 CVE 악용 위험을 최소화할 수 있습니다.
앞서 언급한 취약점 악용 탐지 콘텐츠는 MITRE ATT&CK®와 연계되어 있으며, AI 기반 위협 인텔리전스로 강화되어 종합적인 사이버 위협 컨텍스트를 제공합니다. Sigma 규칙은 다양한 SIEM, EDR, 데이터 레이크 형식으로 자동 변환 가능하여 탐지 엔지니어링 워크플로우를 가속화합니다.
또한 Uncoder AI를 활용하면, 보안 엔지니어가 보고서 및 CTI 피드에서 원시 위협 정보를 성능 최적화된 IOC 쿼리로 변환하고, Attack Flow 시각화, AI 기반 쿼리 최적화, 크로스 플랫폼 탐지 콘텐츠 변환 등 다양한 탐지 엔지니어링 작업을 종단 간으로 수행할 수 있습니다.
CVE-2025-20352 분석
2025년 9월 24일, Cisco는 IOS 및 IOS XE 소프트웨어의 치명적인 제로데이 취약점을 수정하기 위한 보안 업데이트를 배포했습니다. 이 취약점은 실제로 악용되고 있으며, CVE-2025-20352로 추적되며 CVSS 점수는 7.7입니다. SNMP 서브시스템에서 발생하는 스택 기반 버퍼 오버플로우로 인해 모든 SNMP 활성화 장치에 영향을 미치며, Meraki MS390 및 Catalyst 9300 시리즈 스위치(Meraki CS 17 이하 버전)도 포함됩니다. 단, IOS XR 및 NX-OS 시스템에는 영향이 없다고 Cisco는 밝혔습니다. 인증된 원격 공격자는 IPv4 또는 IPv6를 통해 조작된 SNMP 패킷을 전송하여 취약점을 악용할 수 있습니다. Cisco는 악용 시 특정 조건이 필요하다고 명시했습니다. DoS 공격의 경우, 공격자는 SNMPv2c(또는 이전) 읽기 전용 커뮤니티 문자열 또는 유효한 SNMPv3 자격 증명이 필요하며, RCE 공격의 경우 SNMPv1/v2c 읽기 전용 커뮤니티 문자열 또는 유효한 SNMPv3 자격 증명과 장치 관리자 권한이 필요합니다.
Cisco는 도난된 로컬 관리자 자격 증명이 사용된 이후 실제 악용 사례를 확인했습니다. 이 취약점은 모든 SNMP 버전에 영향을 미치며, 영향을 받는 객체 ID를 제외하지 않은 장치는 취약한 것으로 간주됩니다.
현재까지 사용할 수 있는 우회 방법은 없지만, 잠재적인 CVE-2025-20352 완화 조치로는 신뢰할 수 있는 사용자로만 SNMP 접근을 제한하고, show snmp host 명령으로 모니터링하는 방법이 있습니다. 관리자들은 영향을 받는 객체 ID를 비활성화할 수도 있지만, 이는 SNMP 기반 장치 관리에 영향을 줄 수 있습니다. Cisco는 문제를 완전히 해결하고 추가 노출을 방지하기 위해 IOS XE Release 17.15.4a 이상으로 업그레이드할 것을 강력히 권고합니다.
광범위하게 사용되는 소프트웨어의 치명적인 제로데이 결함이 계속 증가하고 실제 공격에 악용됨에 따라, 방어자들의 신속한 대응이 그 어느 때보다 중요해졌습니다. AI, 자동화, 실시간 위협 인텔리전스를 기반으로 한 SOC Prime의 완전한 제품군을 활용하여 가장 긴급한 위협에 앞서 대응하십시오.
