팔로우 
Cisco는 2026년에 악용된 일곱 번째 SD-WAN 제로데이 취약점인 CVE-2026-20245를 공개했습니다. 이 결함은 Cisco Catalyst SD-WAN Manager의 명령줄 인터페이스에 영향을 미치며 인증된 원격 공격자가 netadmin 권한으로 임의의 명령을 실행하도록 허용할 수 있습니다. 루트 에서 조작된 파일을 업로드하여 실행할 수 있습니다. Cisco는 구성 변경이 엣지 장치로 푸시된 사건을 포함한 제한된 사례에서 이미 악용이 관찰되었다고 말했습니다.
위험은 접근 요구 사항으로 인해 더욱 증폭됩니다. Cisco는 공격자가 이미 netadmin 권한을 가지고 있어야 하며, 이는 도난당한 자격 증명이나 이전에 공개된 SD-WAN 결함(CVE-2026-20182 또는 CVE-2026-20127)을 연결하여 얻을 수 있다고 말했습니다. Help Net Security와 SecurityWeek가 요약한 Cisco의 공개에 따르면 이 문제는 온프레미스, Cloud-Pro, Cisco Managed Cloud 및 FedRAMP 환경을 포함한 모든 Cisco Catalyst SD-WAN 배포 유형에 영향을 미칩니다.
CVE-2026-20245 분석
CVE-2026-20245 분석의 핵심 약점은 SD-WAN Manager CLI에서 사용자 제공 입력의 검증 부족입니다. Cisco의 공공 설명에 따르면 인증된 공격자가 조작된 파일을 업로드하고 명령 주입을 유발하여, 최종적으로 영향을 받은 시스템에서 루트 권한으로 권한을 상승시킬 수 있다고 합니다. SecurityWeek는 Cisco PSIRT가 2026년 6월에 악용에 대해 알게 되었으며, 그 시점에 이미 결함이 야생에서 악용되고 있었기 때문에 공개가 가속화되었음을 시사합니다.
CVE-2026-20245에 대한 가장 중요한 세부 사항은 이것이 자체적으로 원격 미인증 취약점이 아니라는 것과, 공격 경로가 이전 SD-WAN의 타협 활동과 밀접하게 연결된 것처럼 보인다는 점입니다. Cisco는 요구되는 권한 액세스를 얻는 것 외에 다른 방법으로 성공적인 악용이 발견되지 않았기 때문에 수비자는 이 문제를 단독의 초기 접근 벡터가 아닌 더 넓은 범위의 SD-WAN 침입 사슬의 일부로 취급해야 한다고 경고합니다.
공개 당시, 인용된 소스들은 공개적으로 CVE-2026-20245 PoC를 지적하지 않았지만 Cisco는 활성 악용을 확인하고 Mandiant가 해당 결함을 보고했다고 언급했습니다. 실질적으로, 공격자의 CVE-2026-20245 페이로드는 CLI 워크플로를 통해 업로드된 조작된 파일로 명령 주입을 유발하고 루트 수준의 실행을 트리거하며, 외부 장치에서 전달된 전통적인 맬웨어 드로퍼와는 다릅니다.
운영적 관점에서 CVE-2026-20245는 SD-WAN 배포에서 가장 민감한 시스템에 영향을 미치며, SD-WAN Manager가 관리 평면에 위치하기 때문입니다. Cisco는 관찰된 악용이 엣지 장치로의 구성 변경으로 이어졌다고 말했으며, 이는 성공적인 악용이 관리 노드 자체를 넘어 확장되어 다운스트림 네트워크 인프라의 동작을 변경할 수 있음을 의미합니다.
CVE-2026-20245 완화
공개 당시 패치와 우회 방법이 없었기 때문에, CVE-2026-20245 완화는 강화, 증거 보존 및 타협 검토에 중점을 둡니다. Help Net Security에서 인용한 Cisco의 지침은 모든 제어 컴포넌트에서 관리자 기술 데이터를 수집한 후 가능한 가장 빠른 시점에 업그레이드하고 엣지 장치의 구성을 확인하라는 것입니다. 이 조언은 만약 시스템이 이미 침해된 경우 소프트웨어 업데이트만으로는 상황을 완전히 해결하지 못할 수도 있기 때문에 중요합니다.
Cisco는 또한 특정 로그 지침 형식으로 CVE-2026-20245 IOCs를 공개했습니다. Help Net Security는 고객이 해당 로그를 검토하고, 만약 침해가 확인되면 Cisco TAC와 직접 협력하여 타겟화된 복구 단계를 실행해야 한다고 말합니다. SecurityWeek 역시 Cisco가 지표를 제공하는 동안, 수정된 버전의 Catalyst SD-WAN Manager 릴리스를 준비 중이라고 언급합니다.
CVE-2026-20245를 탐지하려는 방어자에게 가장 실용적인 접근법은 SD-WAN Manager 장치를 검토하여 무단 루트 수준 활동, 의심스러운 파일 업로드, 엣지 장치로 예상치 못한 구성 푸시 등의 징후를 찾는 것입니다. Cisco는 허용된 접근 권한을 타협된 자격 증명이나 이전의 SD-WAN 버그에 명확히 연결했기 때문에, 조직은 이전에 공개된 인증 및 권한 상승 결함이 전체 시스템에서 완전히 수정되었는지도 검증해야 합니다.
더 넓은 관점에서 CVE-2026-20245 탐지는 루틴 패치 관리라기보다는 사건 대응으로 다루어져야 합니다. 로그가 악용을 나타내면 Cisco는 단순히 미래의 소프트웨어 수정 버전을 설치하는 것만으로는 환경을 확보할 수 없다고 경고하며, 고객은 확인된 침해에 대한 복구 지침을 위해 TAC에 참여할 것을 권장합니다.
FAQ
CVE-2026-20245란 무엇이며 어떻게 작동합니까?
이는 Cisco Catalyst SD-WAN Manager의 CLI에 있는 명령 주입 취약점입니다. Cisco는 netadmin 권한을 가진 공격자가 영향을 받은 시스템에 조작된 파일을 업로드하고 루트 권한으로 임의의 명령을 실행할 수 있다고 말합니다.
CVE-2026-20245는 언제 처음 발견되었습니까?
공개된 보고에서 사설 발견 날짜는 공개되지 않았습니다. 공개적으로 알려진 것은 Cisco가 2026년 6월 5일에 결함을 공개했으며, PSIRT가 6월에 악용에 대해 알게 되었고, Mandiant가 취약점을 보고한 것으로 크레딧되었습니다.
CVE-2026-20245가 시스템에 미치는 영향은 무엇입니까?
성공적인 악용은 Cisco Catalyst SD-WAN Manager에서 루트 권한으로 임의의 명령을 실행할 수 있게 합니다. Cisco는 또한 엣지 장치로 구성 변경이 푸시된 사건을 관찰했다고 말했으며, 이는 더 넓은 네트워크에 영향을 미칠 가능성을 높입니다.
2026년에도 CVE-2026-20245가 여전히 나에게 영향을 미칠 수 있습니까?
예. 영향을 받은 Cisco Catalyst SD-WAN Manager 배포는 패치되지 않고 남아 있고 공격자가 도난된 자격 증명이나 연결된 SD-WAN 취약점을 통해 필요한 netadmin 권한을 얻을 수 있는 경우 2026년에도 여전히 노출될 수 있습니다. 공개 당시 Cisco는 아직 수정을 발표하지 않았습니다.
CVE-2026-20245로부터 나 자신을 어떻게 보호할 수 있습니까?
관리 기술 수집 프로세스를 통해 증거를 보존하고, Cisco의 게시된 로그 지표를 검토하며, 엣지 장치 구성을 검증하고, 연결된 SD-WAN 접근 결함을 수정하며, 가능한 한 빨리 Cisco의 미래 수정 릴리스를 적용하십시오. 타협이 확인된 경우 Cisco는 패치만으로 시스템을 완전히 복구할 수 없을 수 있기 때문에 TAC와 함께 작업할 것을 권장합니다.
