CVE-2026-20127: Cisco SD-WAN 제로데이, 2023년부터 악용

새로운 날, 주목받는 새로운 취약점. 우리는 널리 배포된 플랫폼의 무기화된 결함이 얼마나 빠르게 실질적인 운영 위험으로 변하는지를 다시 한 번 볼 수 있습니다. 최고 심각도의 Cisco 버그에 대한 보도(CVE-2025-20393, CVE-2026-20045), 그리고 Dell RecoverPoint 제로데이 CVE-2026-22769, 공격자들이 점점 더 교통 흐름, 경로 식별, 서비스 가용성을 조용히 제어하는 에지 프론트 인프라를 우선시하고 있다는 것을 보여줍니다.

이야기는 Cisco Catalyst SD-WAN Controller (이전의 vSmart) 및 Cisco Catalyst SD-WAN Manager (이전의 vManage)에 영향을 미치는 중요한 인증 우회를 설명하는 CVE-2026-20127과 함께 계속됩니다. Cisco Talos는 이 결함이 적극적으로 악용되고 있다고 보고하며 2023년 최소부터 사용되고 있었음을 높은 신뢰도로 평가하며 악용 활동을 추적하는 UAT-8616으로 식별하고 있습니다.

GreyNoise의 2026 에지 상태 보고서 는 에지 프론트 네트워크 제어 시스템에서의 악용이 확인되면 긴급한 조치가 필요하다는 점을 보여줍니다. 2025년 하반기, GreyNoise는 인터넷 프론트 인프라를 목표로 하는 3.8백만 개의 고유 소스 IP에서 29억 7천만 개의 악성 세션을 관찰하였으며, 공격자들이 노출된 표면에 주목하면 악용 트래픽이 얼마나 빠르게 확장되는지를 강조합니다.

SOC Prime의 AI-Native Detection Intelligence Platform에 등록하세요, 사이버 위협을 확대하고 탄력적인 사이버 보안을 구축하기 위해 최첨단 기술과 최고 사이버 보안 전문 지식으로 지원됩니다. 클릭 탐지 보기 를 통해 취약점 악용 탐지를 위한 포괄적인 SOC 콘텐츠 컬렉션에 액세스하고 사용자 맞춤 “CVE” 태그로 필터링 된 것을 확인하세요.

탐지 보기

전용 규칙 세트의 탐지 콘텐츠는 여러 SIEM, EDR 및 데이터 레이크 플랫폼에서 적용할 수 있으며, 최신 MITRE ATT&CK® 프레임워크 v18.1에 매핑됩니다. 보안 팀은 또한 Uncoder AI 를 활용해 라이브 위협 보고서에서 직접 규칙을 생성하고, 탐지 로직을 정제 및 검증하며, Attack Flow를 자동 시각화하고, IOC를 맞춤형 헌팅 쿼리로 변환하며, 다양한 언어 포맷 간 탐지 코드를 즉시 번역함으로써 탐지 엔지니어링을 end-to-end로 가속화할 수 있습니다.

CVE-2026-20127 분석

Cisco Talos는 CVE-2026-20127을 인증되지 않은 원격 공격자가 조작된 요청을 전송해 인증을 우회하고, 영향을 받는 시스템에서 관리자 권한을 획득할 수 있게 하는 취약점으로 설명합니다. Cisco의 공개 권고문은 근본 원인을 정상적으로 동작하지 않는 피어링 인증 메커니즘과 연관 짓고 있습니다.

성공적인 악용은 공격자가 Catalyst SD-WAN Controller에 내부 고위 권한, 비루트 계정으로 로그인한 후 해당 접근 권한을 사용하여 NETCONF에 도달하고 SD-WAN 패브릭 구성을 조작할 수 있게 합니다. 이러한 종류의 제어 평면 접근은 SD-WAN 사건이 매우 혼란을 초래하는 이유인데, 공격자들이 네트워크가 어떻게 작동하는지를 형상화할 수 있는 위치에 있습니다.

다수의 정부 및 파트너 권고는 공통 포스트 악용 경로를 설명합니다. CVE-2026-20127을 악용한 후, 공격자들이 가짜 피어를 추가한 후 루트 접근 및 장기 지속성으로 이동했다고 관찰되었습니다. Talos는 정보 파트너들이 소프트웨어 버전 다운그레이드와 CVE-2022-20775 악용을 포함해 원래 버전으로 복원하는 식으로 상승을 관찰했다며 이 시퀀스는 팀이 단지 ‘현재’ 실행 중인 버전만 검증할 경우 탐지를 복잡하게 만들 수 있습니다.

악용이 확인되고 사이트 및 클라우드 간의 연결성을 관리하는 시스템에 영향을 미치기 때문에 CISA는 미국 연방 민간 기관에 대해 긴급 지시 26-03 을 발행했으며, 2026년 2월 27일 오후 5시 (ET)까지 필요한 조치를 완료해야 하는 가속화된 요구 사항을 가지고 있습니다. FedRAMP는 연방 환경을 지원하는 클라우드 공급자에게도 같은 긴급사항을 전달했습니다. 

CVE-2026-20127 완화 

Cisco의 권고에 따르면, CVE-2026-20127은 장치 구성에 관계없이 Cisco Catalyst SD-WAN Controller 및 Cisco Catalyst SD-WAN Manager에 영향을 미치며 다음 배포 유형에서도 해당합니다:

• 온프레미스 배포
• Cisco Hosted SD-WAN Cloud
• Cisco Hosted SD-WAN Cloud – Cisco 관리
• Cisco Hosted SD-WAN Cloud – FedRAMP 환경 
  
  

Cisco는 이 취약점을 완전히 해결하는 해결 방법이 없다고 언급합니다. 지속 가능한 수정은 패치된 릴리스로 업그레이드하는 것이며, 정확한 수정 버전은 Cisco의 권고 사항의 고정 소프트웨어 섹션에서 나열되어 있습니다.

사용자는 패치가 유일한 완전한 해결책임을 우선시하고 범위 내의 모든 Catalyst SD-WAN Controller 및 Manager 인스턴스에 수정 사항이 실제로 적용되어 있는지 확인하는 것부터 시작해야 합니다.

그런 다음, 사용자가 패치하고 확인하는 동안 공격 표면을 줄이기 위해 CISA 와 UK NCSC 지침은 네트워크 노출을 제한하고 SD-WAN 제어 구성 요소를 방화벽 뒤에 배치하며 관리 인터페이스를 신뢰할 수 없는 네트워크에서 격리할 것을 강조합니다. 동시에, SD-WAN 로그는 외부 시스템으로 보내져야 하므로 공격자들이 로컬 증거를 쉽게 삭제할 수 없습니다.

마지막으로, 이것을 패치와 조사 이벤트로 다루는 것이 더 낫습니다. Cisco는 /var/log/auth.log 에서 알 수 없는 또는 권한이 없는 IP 주소에서 오는 “vmanage-admin의 공개키 허용됨”과 같은 항목을 검토한 다음, 관리 UI(WebUI > 장치 > 시스템 IP)에 나열된 구성된 시스템 IP와 비교할 것을 권장합니다. 사용자가 침해 의심이 있는 경우, Cisco는 Cisco TAC에 연락하고 관리 기술 출력을 수집(예: request admin-tech)하여 검토될 수 있도록 권장합니다.

보고된 활동은 버전 다운그레이드 및 예상치 못한 재부팅 동작을 포함할 수 있기 때문에, 공공 지침도 다운그레이드/재부팅 지표를 확인하기 위해 다음 로그를 검토할 것을 권장합니다:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log
  
  

패치 및 완화 조치를 넘어서 커버리지 강화를 위해, SOC Prime 플랫폼 에 의존하여 세계 최대의 탐지 인텔리전스 데이터 세트에 도달하며, 탐지부터 시뮬레이션까지의 엔드 투 엔드 파이프라인을 채택하고 보안 운영을 간소화하고 대응 워크플로우를 가속화하며, 엔지니어링 오버헤드를 줄이고, 등장하는 위협을 앞질러 나갑니다.