CVE-2025-20281 및 CVE-2025-20282 취약점: Cisco ISE 및 ISE-PIC의 치명적인 RCE 결함
여름 무더위가 절정에 달함에 따라, 사이버 위협 환경에서도 치명적인 취약점들이 잇따라 발견되며 열기를 더하고 있습니다. CVE-2025-49144로 추적되는 Notepad++의 취약점 공개 직후, Cisco Identity Services Engine (ISE) 및 ISE Passive Identity Connector (ISE-PIC)에서 다수의 치명적인 취약점이 새롭게 발견되었습니다. CVE-2025-20281 및 CVE-2025-20282로 추적되는 이번 결함은 인증되지 않은 공격자가 대상 시스템에 루트 접근 권한을 얻을 수 있도록 하여, 기업 네트워크 전반에 심각한 위험을 야기합니다.
취약점 악용은 오늘날 위협 환경에서 가장 위험하고 지속적인 공격 벡터 중 하나로, 특히 공공 부문 및 주요 인프라 조직을 포함한 다양한 산업 분야에서 널리 사용되는 제품에 영향을 미칠 경우 그 심각성은 배가됩니다. 위협 행위자들은 인기 있는 플랫폼의 보안 취약점을 악용해 초기 접근을 확보하고 핵심 시스템을 장악하려는 시도를 점점 더 우선시하고 있습니다.
Verizon의 2025 데이터 침해 조사 보고서(DBIR)에 따르면, 초기 접근 방식으로서의 취약점 사용이 34% 증가해 전체 침해 사고의 20%를 차지하게 되었습니다. 이에 더해, Google 산하의 Mandiant 데이터는 지난 5년 연속으로 취약점 악용이 사고 대응 중 가장 일반적으로 관찰된 감염 벡터였음을 보여줍니다. 진입 지점이 식별된 사례 중 33%가 소프트웨어 취약점 악용에서 비롯되었으며, 이는 특히 기관 인프라의 핵심 시스템을 보호하기 위한 적시 패치와 지속적인 취약점 관리 및 사전 탐지 전략의 필요성을 강조합니다.
RCE 공격은 패치되지 않은 취약점을 통해 보안 팀에게 심각한 위협을 가하며, 이번에 발견된 Cisco 제품의 치명적인 RCE 취약점(CVE-2025-20281 및 CVE-2025-20282)은 인증이나 사용자 개입 없이도 원격 제어와 시스템 장악을 가능케 하여 전 세계 조직에 심대한 영향을 끼칠 수 있습니다.
SOC Prime 플랫폼에 가입하여 실시간 CTI 및 선별된 탐지 콘텐츠가 제공되는 글로벌 위협 피드를 활용해 현재 및 신흥 위협에 대응하세요. 보안 팀은 “CVE” 태그가 붙은 컨텍스트 기반 Sigma 룰 전체 컬렉션에 액세스할 수 있으며, AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅, 고급 탐지 기능을 갖춘 완전한 제품군이 함께 제공됩니다.
모든 Sigma 룰은 다양한 SIEM, EDR, 데이터 레이크 포맷에 적용 가능하며 MITRE ATT&CK®와 정렬되어 위협 조사를 지원합니다. 각 룰은 관련 메타데이터로 보강되어 있으며, 아래의 탐지 보기 버튼을 클릭하면 “CVE” 태그로 필터링된 현재 및 기존 취약점 탐지 스택을 자세히 살펴볼 수 있습니다.
보안 엔지니어는 Uncoder AI를 통해 탐지 엔지니어링 전 과정을 효율화하고 커버리지를 강화할 수 있습니다. 이 도구는 IOC를 사냥 쿼리로 즉시 변환하고, 실시간 위협 인텔리전스를 기반으로 탐지 로직을 AI로 생성하며, 맞춤형 AI 프롬프트로 SOC 대응 콘텐츠를 생성합니다. 또한 문법 검증, 탐지 로직 최적화, 자동 Attack Flow 시각화, Sigma 룰에 대한 MITRE ATT&CK 기술 및 하위 기술 보강 등의 기능을 제공하여 탐지 품질과 속도를 모두 향상시킵니다.
CVE-2025-20281 및 CVE-2025-20282 분석
Cisco는 최근 보안 권고문을 통해 ISE 및 ISE-PIC 플랫폼에 영향을 미치는 두 가지 치명적인 인증되지 않은 RCE 취약점에 대해 경고했습니다.
CVE-2025-20281과 CVE-2025-20282는 각각 치명적인 등급을 부여받았으며, 전자는 9.8점, 후자는 최고 점수인 10.0점을 기록했습니다. CVE-2025-20281은 ISE 및 ISE-PIC 버전 3.3과 3.4에 영향을 주며, CVE-2025-20282는 소프트웨어 버전 3.4에만 영향을 미칩니다.
CVE-2025-20281은 공개된 API에서 사용자 입력을 제대로 검증하지 않아, 원격의 인증되지 않은 공격자가 특수하게 조작된 요청을 보내 운영 체제 명령을 루트 권한으로 실행할 수 있게 합니다. 두 번째 결함은 내부 API에서 파일 검증이 미흡해 인증되지 않은 공격자가 시스템 보호 디렉터리에 임의의 파일을 업로드하고 실행할 수 있어 루트 수준의 접근이 가능해집니다. 공급업체에 따르면, 성공적인 악용 시 공격자는 악성 파일을 저장하고 실행하거나 루트 권한으로 권한을 상승시킬 수 있습니다.
현재로서는 별도의 우회책(workaround)은 존재하지 않으며, 해당 패치를 적용하는 것이 CVE-2025-20281 및 CVE-2025-20282에 대한 권장 대응 방안입니다. CVE-2025-20281은 ISE/ISE-PIC 3.3 패치 6 및 3.4 패치 2에서 해결되었으며, CVE-2025-20282는 ISE/ISE-PIC 3.4 패치 2에서 해결되었습니다.
이 두 보안 결함은 대기업, 정부기관, 대학, 서비스 제공 인프라 등에서 널리 사용되는 제품에 영향을 주므로 인증이나 사용자 개입 없이 원격으로 시스템이 손상될 위험이 매우 큽니다.
현재 Cisco는 악용 징후가 없다고 밝혔지만, 모든 사용자는 앞서 언급한 패치 버전(또는 이후 버전)으로의 즉각적인 업그레이드를 강력히 권장합니다. 두 취약점 모두 널리 사용되는 제품에 영향을 미치며, 인증이나 사용자 상호작용이 필요하지 않기 때문에 원격 침해의 위험성이 매우 높습니다. 방어자들은 가능한 노출을 최소화하기 위해 신속하고 적극적인 대응이 요구됩니다. 알려진 취약점을 악용하는 주요 위협에 앞서기 위해 AI, 자동화, 실행 가능한 위협 인텔리전스를 기반으로 한 SOC Prime의 완전한 제품군을 활용하십시오.
