CVE-2025-20286 취약점 악용: Critical Cisco ISE 결함이 AWS, Microsoft Azure, 및 OCI 클라우드 배포에 미치는 영향

치명적인 취약점 Cisco의 Identity Services Engine (ISE)에서 발견된 취약점은 인증되지 않은 원격 공격자가 다양한 클라우드 환경에서 민감한 정보를 검색하고 관리 작업을 수행할 수 있게 합니다. PoC 코드 익스플로잇이 이제 공개적으로 접근 가능한 상태에서, CVE-2025-20286으로 추적된 이 결함은 AWS, Microsoft Azure, Oracle Cloud Infrastructure (OCI)와 같은 인기 있는 클라우드 플랫폼에 배포된 기존 Cisco 제품을 사용하는 글로벌 조직에 심각한 위협이 됩니다. 

사이버 보안 환경은 계속해서 진화하고 있으며, 치명적인 CVE, 제로데이 취약점, 그리고 고위험 결함을 노리는 실제 공격의 증가 추세를 보여줍니다. 2025년 6월 기준, 20,000개 이상의 취약점이 공개되었으며, 이는 전년 동기 대비 16% 증가한 수치로, 사이버 위협을 극복하기 위한 증가된 사이버 경계의 필요성을 강조합니다. 

SOC Prime 플랫폼 등록 하여 사용 가능한 CTI 및 큐레이팅된 탐지 알고리즘을 통해 직접적인 공격을 사전 예방할 수 있도록 전 세계 활성 위협 피드에 대한 액세스를 얻으세요. ‘CVE’ 태그로 필터링된 방대한 Sigma 규칙 라이브러리를 탐색하고, 고급 위협 탐지 및 사냥을 위한 완벽한 제품군을 지원합니다. 클릭하여 

모든 탐지는 수십 개의 SIEM, EDR, 및 데이터 레이크 기술에서 사용할 수 있으며, MITRE ATT&CK 프레임워크와 일치하여 스마트 위협 조사를 지원합니다. 각 규칙은 CTI 링크, 공격 타임라인, 감사 설정, 응급 조치 권장사항 및 기타 관련 메타데이터와 함께 제공됩니다. 클릭하여 탐지 탐색 아래의 ‘CVE’ 태그로 필터링된 방대한 행위 기반 Sigma 규칙 컬렉션에 접근하십시오:

탐지 탐색

CVE-2025-20286 분석

Cisco는 최근 적대자가 무기로 사용할 때 영향을 받는 시스템에서 악의적인 작업을 수행할 수 있는 심각한 ISE 취약점을 수정하기 위한 보안 업데이트를 발표했습니다. 이 취약점은 CVE-2025-20286 으로 식별되었으며, CVSS 점수 9.9/10으로 할당되었으며 정적 자격 증명 결함으로 분류됩니다. 

이 취약점은 AWS, Azure 및 OCI에서 ISE의 클라우드 배포에 영향을 미치며, 인증되지 않은 원격 공격자가 민감한 데이터에 접근하고, 제한된 관리 작업을 수행하고, 시스템 설정을 변경하거나 서비스를 방해할 수 있도록 허용합니다. PoC 익스플로잇은 존재하지만 Cisco는 실제 환경에서의 활성 익스플로잇은 발견되지 않았다고 말합니다.

근본 원인은 Cisco ISE의 클라우드 배포 시 잘못 생성된 정적 자격 증명에 있습니다. 이러한 자격 증명은 동일한 소프트웨어 릴리스와 클라우드 플랫폼을 공유하는 모든 배포에서 동일하며, 예를 들어 AWS의 ISE 버전 3.1의 모든 인스턴스는 동일한 자격 증명을 사용합니다. 그러나 이러한 정적 자격 증명은 다른 버전이나 클라우드 플랫폼 간에 교환할 수 없습니다. 예를 들어, AWS의 버전 3.1 자격 증명은 3.2 버전에서는 작동하지 않으며, AWS의 버전 3.2 자격 증명은 Azure에서 사용된 것과 다릅니다.

CVE-2025-20286이 성공적으로 악용되면 공격자는 클라우드에 배포된 Cisco ISE 인스턴스에서 사용자 자격 증명을 추출하고 이를 사용하여 다양한 클라우드 환경에서 다른 ISE 배포에 보안이 확보되지 않은 포트를 통해 접근할 수 있습니다. 그러나 Cisco는 이 문제가 클라우드에 주 관리 노드가 호스팅된 배포에만 영향을 미치며, 온프레미스 배포에는 영향이 없다고 강조합니다.

보다 구체적으로, 이 결함은 온프레미스 배포(ISO 또는 OVA를 통해 설치된 모든 형태)에 영향을 미치지 않으며, Azure VMware 솔루션, Google Cloud VMware Engine, 또는 VMware Cloud on AWS의 클라우드 배포에도 영향을 미치지 않습니다. 또한, 모든 관리 노드가 온프레미스에 있는 하이브리드 설정도 제외됩니다. 영향을 받는 버전에는 AWS에서 ISE 버전 3.1부터 3.4까지, Azure 및 OCI에서 ISE 버전 3.2부터 3.4까지 포함됩니다. 

이 결함에 대한 직접적인 해결책은 없지만, Cisco는 CVE-2025-20286의 악용 위험을 최소화하기 위해 클라우드 보안 그룹을 사용한 접근 제한, Cisco ISE의 IP 기반 접근 제어 유지, 새 설치 시 자격 증명 재설정 등을 포함한 일련의 실현 가능한 완화 조치를 권장합니다. 이는 핫픽스 (ise-apply-CSCwn63400_3.1.x_patchall-SPA.tar.gz)를 ISE 버전 3.1부터 3.4까지 적용하여 취약점을 해결할 수 있고, 수정 버전이 나올 때까지 이를 적용합니다. 버전 3.3 및 3.4를 사용하는 고객은 각각 3.3P8 또는 3.4P3로 업그레이드해야 합니다. 버전 3.5에 대한 모든 수정은 2025년 8월에 출시될 예정입니다. 

CVE-2025-20286의 악용 위험과 잠재적 심각한 영향으로 인해 Cisco ISE 사용자는 이 결함을 심각한 보안 문제로 간주하고 즉시 대응해야 합니다. 보안 팀이 새로운 위협에 적극적으로 방어하고 취약점 악용 시도로부터 조직을 보호할 수 있도록 지원하기 위해 SOC Prime 플랫폼 은 AI, 자동화 및 실시간 위협 인텔로 백업된 완벽한 제품군을 제공하여 보다 강력한 사이버 보안 태세를 구축합니다.