CVE-2025-20393 악용: 중국 배후 APT UAT-9686 공격에서 악용된 Cisco AsyncOS 소프트웨어의 최대 심각도 제로데이 취약점
2025년이 저물어 가면서 또 다른 중요한 Cisco 제로데이 가 등장했습니다. 기존의 고위험 공개 사항에 합류하고 있습니다: Cisco ISE와 SE-PIC의 두 가지 RCE 취약점 (CVE-2025-20281 및 CVE-2025-20282) 및 Cisco IOS와 IOS XE의 9월 제로데이 (CVE-2025-20352). 최근에 발견된 Cisco 취약점은 CVE-2025-20393으로 식별되며 AsyncOS 소프트웨어에 영향을 미치고, 최대 심각도 CVSS 점수 10.0에 도달합니다. 이 결함은 이미 UAT-9686으로 추적되는 중국 연계 APT 그룹에 의해 활발히 악용되고 있습니다.
제로데이 취약점의 악용이 증가하고 있으며, 이를 패치하는 시간이 줄어들어 즉각적인 업데이트가 그 어느 때보다 중요합니다. 2025 Verizon DBIR 보고서 는 취약점 악용으로 시작된 침해 사건이 전년 대비 34% 증가했음을 강조하며 선제적인 방어의 필요성을 강조합니다. 중국 배후 스파이 작전은 지난 5년간 점점 은밀하고 운영 보안을 중시하여 이 추세를 주도하고 있습니다. 중국 연계 APT 클러스터는 가장 빠르고 활동이 활발한 국가 지원 공격자 중 하나로 남아 있으며, 새로 공개된 익스플로잇을 거의 즉시 무기화하여 글로벌 사이버 보안 환경을 더욱 복잡하게 만듭니다.
12월 초, React Server Components의 새로운 최대 심각도 취약점인 React2Shell 이 여러 중국 연계 캠페인에서 악용되는 것이 관찰되었습니다. 활동은 규모와 속도 모두 빠르게 가속화되고 있으며 대상 범위를 확장하고 있습니다. 최근 Cisco AsyncOS 소프트웨어에서 발견된 또 다른 최대 심각도 취약점(CVE-2025-20393)은 사이버 위협 분야에서 대대적인 반향을 일으키고 있으며, 방어자들의 극도의 경각심이 필요합니다.
SOC Prime 플랫폼에 가입하세요, 세계 최대의 탐지 인텔리전스 데이터 세트를 제공하며 탐지부터 시뮬레이션에 이르는 전체 파이프라인을 다루어 SOC의 수준을 한 단계 높이고 다양한 규모와 복잡성을 가진 APT 공격, 취약성 악용 캠페인, 사이버 위협을 척결하세요. 탐지 탐색 을 눌러 중요한 익스플로잇을 다루는 포괄적인 컨텍스트 강화 규칙 세트를 확인하세요. 이는 해당 “CVE” 태그로 필터링됩니다.
위에 언급된 SOC 콘텐츠는 교차 플랫폼 콘텐츠 활용을 가능하게 하기 위해 40개 이상의 SIEM, EDR 및 데이터 레이크 플랫폼에서 지원되며 최신 MITRE ATT&CK® v18.1 프레임워크에 맵핑됩니다. 보안 팀은 Uncoder AI로 끝에서 끝 탐지 엔지니어링 워크플로를 더욱 가속화할 수 있습니다. 이 도구는 실시간 위협 인텔리전스를 기반으로 원활한 규칙 생성, 즉시 탐지 논리 강화를 가능하게 하며, 자동 공격 흐름 시각화, IOC를 사냥 쿼리로 변환하고 AI 지원을 통한 탐지 콘텐츠의 다양한 언어 형식 간 번역을 지원합니다.
CVE-2025-20393 분석
Cisco는 최근 전 세계 방어 커뮤니티에 AsyncOS 소프트웨어에서 추적되는 중요 제로데이에 대해 경고했으며 CVE-2025-20393 은 Cisco Secure Email Gateway 및 Cisco Secure Email and Web Manager를 대상으로 하는 UAT-9686이라는 중국 연계 APT 그룹에 의해 활발히 악용되고 있습니다.
회사는 2025년 12월 10일에 캠페인에 대해 알게 되었으며, 특정 인터넷 노출 포트를 가진 일부 기기만 영향을 받는 것으로 보인다고 보고했습니다. 영향을 받은 고객의 총 수는 아직 불분명합니다.
베더의 경우, 이 결함은 위협 행위자들이 영향을 받는 장치에서 루트 권한으로 임의의 명령을 실행할 수 있게 합니다. 조사관들은 또한 손상된 장치에 대한 제어를 유지하기 위해 지속성 메커니즘이 심어져 있음을 발견했습니다.
취약점은 아직 패치되지 않았으며, 부적절한 입력 검증에서 기인하여 공격자들이 기본 운영 체제에서 권한이 높은 명령을 실행할 수 있게 합니다.
모든 버전의 Cisco AsyncOS가 영향을 받으며, Cisco Secure Email Gateway 및 Cisco Secure Email and Web Manager의 물리적 및 가상 배포 모두 특정 조건이 충족되어야 악용이 가능합니다. 스팸 격리 기능은 기본적으로 비활성화되어 있지만 인터넷에서 접근 가능하고 활성화되어 있어야 합니다. Cisco는 웹 관리 인터페이스를 통해 해당 네트워크 인터페이스 설정을 확인하여 상태를 확인할 것을 관리자들에게 권장합니다.
공급 업체는 UAT-9686이라는 중국 연계 행위자가 AquaTunnel (ReverseSSH) 및 Chisel과 같은 터널링 도구와 AquaPurge라는 로그 정리 유틸리티를 배포하기 위해 결함을 남용하기 시작한 2025년 11월 말까지의 악용 활동을 추적하였습니다. AquaTunnel은 이전에 APT41 및 UNC5174를 포함한 다양한 중국 그룹과 연관되어 보였습니다. 또한 공격자들은 인증되지 않은 HTTP POST 요청을 수동으로 청취하고, 특별히 조작된 페이로드를 디코딩하며 시스템 셸을 통해 명령을 실행하는 경량 Python 백도어, AquaShell을 배포했습니다.
패치가 나오기 전까지는 Cisco는 인터넷 노출을 제한하고, 신뢰할 수 있는 호스트만 허용하는 방화벽 뒤에 기기를 배치하며, 메일 및 관리 인터페이스를 분리하고, 기본 관리자 포털에 대한 HTTP 액세스를 비활성화하고, 웹 로그를 정밀히 모니터링하는 등의 방식으로 영향을 받는 기기를 강화할 것을 권장합니다. 추가 안내사항으로 불필요한 서비스 비활성화, SAML 또는 LDAP 등의 강력한 인증 메커니즘 시행, 기본 관리자 자격 증명을 더 강력한 암호로 대체하는 것도 포함됩니다. 회사는 침해가 확인된 경우 현재 공격자 지속성을 제거할 수 있는 유일한 효과적인 방법은 기기를 재구성하는 것이라고 강조했습니다.
증가하는 위협에 대응하여, CISA는 CVE-2025-20393 을 KEV 카탈로그에 추가하여 연방 민간 행정 기관이 2025년 12월 24일까지 완화 조치를 구현하도록 의무화했습니다.
또한, 그레이노이즈는 Cisco SSL VPN 및 Palo Alto Networks GlobalProtect 포털을 포함한 엔터프라이즈 VPN 인프라를 대상으로 하는 자동화된 자격 증명 채우기 캠페인을 탐지했다고 보고했습니다. 활동은 대규모 스크립트 로그인 시도를 포함하며, 취약점 악용보다 일관된 인프라 및 타이밍을 통해 여러 VPN 플랫폼에서 하나의 캠페인이 전개되고 있음을 시사합니다.
CVE-2025-20393의 빠르게 진행되는 악용과 중국 지원 해킹 그룹의 적극적인 사용은 전 세계 조직을 상대로 한 후속 공격의 증가 위험을 시사합니다. 이러한 악용 시도의 위험을 최소화하려면, SOC Prime의 AI-Native Detection Intelligence Platform에 의존하세요. 이 플랫폼은 SOC 팀에게 최첨단 기술과 최고의 사이버 보안 전문 지식을 제공하여 새로운 위협에 앞서고 운영 효율성을 유지할 수 있도록 합니다.
