[Security] CVE-2026-20245: 2026년 7번째 Cisco SD-WAN 제로데이 — 패치 없이 루트 권한 상승 악용 중
서론
2026년 6월 5일, Cisco가 또 하나의 SD-WAN 제로데이를 공개했다. CVE-2026-20245로 추적되는 이 취약점은 Cisco Catalyst SD-WAN Manager CLI에서 발견됐으며, 인증된 공격자가 조작된 파일을 업로드해 루트 권한으로 임의 명령을 실행할 수 있다. 더 심각한 건 현재까지 패치가 존재하지 않는다는 점이다.
이게 그냥 “또 하나의 CVE”로 읽히면 안 된다. 보안 업계에서 이 소식이 주목받는 이유 중 하나는, 이번이 2026년 한 해에만 Cisco SD-WAN에서 발견된 7번째 제로데이이기 때문이다. SecurityWeek는 그 제목을 아예 “Cisco Warns of 7th SD-WAN Zero-Day Exploited in 2026”으로 뽑았다. 1년에 같은 제품에서 7번의 제로데이라는 수치는, 특정 플랫폼이 집중적인 취약점 연구(또는 공격자의 타깃)가 됐음을 시사한다.
Cisco PSIRT는 해당 취약점이 이미 실제 공격에 악용되고 있음을 확인했으며, Google Cloud의 사이버보안 자회사인 Mandiant가 이를 발견해 보고했다. 현재 Cisco의 인프라를 기업 네트워크 백본으로 사용하는 조직이라면 즉각 대응이 필요한 상황이다.
본론
취약점 기술 세부 사항
CVE-2026-20245는 Cisco Catalyst SD-WAN Manager의 CLI(Command Line Interface) 컴포넌트에 존재하는 입력 검증 부재 취약점이다.
취약점 흐름은 다음과 같다.
netadmin권한을 가진 인증된 원격 공격자가 SD-WAN Manager의 CLI에 접근한다.- 조작된 파일(crafted file)을 업로드한다.
- SD-WAN Manager가 해당 파일을 처리하는 과정에서 입력 검증이 부족해 임의 명령이 루트(root) 권한으로 실행된다.
1
2
3
4
5
6
공격 흐름:
netadmin 계정 접근
→ 조작된 파일 업로드
→ CLI 처리 과정에서 입력 검증 누락
→ 루트 권한 명령 실행
→ 에지 디바이스 설정 변경 가능
여기서 중요한 포인트는 “인증된 공격자”라는 조건이다. 이 취약점은 완전한 비인증 공격은 아니지만, netadmin 수준의 계정은 실제 침해 사고에서 생각보다 쉽게 탈취된다. 특히 피싱 공격이나 자격증명 재사용을 통해 SD-WAN 관리 포털에 접근하는 사례는 이미 여러 침해 사고에서 보고된 바 있다.
영향 범위
이 취약점이 더 厄介한 이유는 모든 Cisco SD-WAN 배포 유형에 영향을 준다는 것이다.
| 배포 유형 | 영향 여부 |
|---|---|
| On-Premises (온프레미스) | ✅ 영향 |
| Cloud-Pro | ✅ 영향 |
| Cloud (Cisco 관리) | ✅ 영향 |
| Government / FedRAMP | ✅ 영향 |
배포 방식과 무관하게 Cisco Catalyst SD-WAN Manager를 사용하는 모든 조직이 잠재적 공격 대상이다. SD-WAN은 기업의 WAN(Wide Area Network) 인프라를 소프트웨어로 추상화한 기술로, 제조업·금융·공공기관 등 대규모 분산 네트워크를 운영하는 환경에서 광범위하게 쓰인다.
실제 악용 사례와 침해 지표
Cisco는 보고서에서 실제 악용 사례에 대해 구체적으로 언급했다. Mandiant가 발견한 인시던트에서는 공격자가 에지 디바이스(edge device)의 설정을 변경하는 데까지 성공했다고 확인됐다. 에지 디바이스 설정 변경이 의미하는 건 단순한 서버 침해 이상이다. SD-WAN 에지 디바이스는 네트워크 트래픽의 흐름 자체를 제어하기 때문에, 공격자가 트래픽 라우팅을 변경하거나 중간자(man-in-the-middle) 포지션을 확보할 수 있다.
Cisco는 다음과 같은 로그 항목을 침해 지표(IOC)로 제시했다.
1
2
3
4
# CLI 명령 실행 로그에서 비정상 파일 업로드 패턴 확인
# 예: 정상적이지 않은 타임스탬프의 임시 파일 생성
# SD-WAN Manager의 감사 로그에서 netadmin 계정의 비정상 접근 시간 체크
# 에지 디바이스에 비인가된 설정 변경 이력 존재 여부 확인
이 외에도 다음 항목을 우선 점검해야 한다.
- SD-WAN Manager 관리 인터페이스의 로그인 이력 중 비업무 시간대의 접근
netadmin계정으로 수행된 파일 업로드 기록- 에지 디바이스 설정 변경 이력과 변경 승인 기록 비교
패치 부재 상황과 임시 대응 방안
Cisco는 패치를 향후 Catalyst SD-WAN Manager 릴리스에 포함할 예정이라고 밝혔다. 현재로서는 공식 패치도 없고 공식 워크어라운드(workaround)도 없다.
이런 상황에서 취할 수 있는 실질적인 조치들은 다음과 같다.
1. 접근 제어 강화
1
2
3
# SD-WAN Manager 관리 인터페이스를 VPN 또는 전용 관리 네트워크 뒤에 배치
# 인터넷 직접 노출 제거 - 특히 CLI 접근 포트 차단
# ACL을 통해 신뢰된 관리자 IP에서만 접근 허용
2. 권한 최소화
CLI와 파일 업로드 기능에 접근할 수 있는 계정을 최소한으로 제한한다. netadmin 권한 계정의 수를 줄이고, 불필요한 계정은 즉시 비활성화한다.
3. 모니터링 강화
SD-WAN Manager의 감사 로그를 SIEM(Security Information and Event Management)에 연동하고, 비정상적인 파일 업로드 이벤트에 대한 알림 규칙을 설정한다.
4. 기존 May 2026 Patch Tuesday 패치 적용
Cisco는 5월 2026 Patch Tuesday에서 관련 인증 우회 취약점에 대한 패치를 제공한 바 있다. 해당 패치를 아직 적용하지 않은 조직이라면 즉시 적용을 권장한다.
2026년 Cisco SD-WAN 제로데이 패턴
보안 커뮤니티에서 CVE-2026-20245가 주목받는 또 다른 이유는 숫자 자체다. 2026년 한 해에만 Cisco SD-WAN에서 발견된 제로데이가 이제 7건이다. 이는 단순한 우연이 아닐 가능성이 높다.
두 가지 해석이 가능하다. 첫 번째는 Cisco SD-WAN 코드베이스가 보안 연구자들의 집중적인 취약점 발굴 대상이 됐다는 것이다. Mandiant를 비롯한 대형 보안 업체들이 SD-WAN 플랫폼을 집중 감사하면서 숨어있던 취약점들이 잇달아 발견될 수 있다. 두 번째는 국가 지원 해킹 그룹들이 기업 네트워크 백본 침투를 위해 SD-WAN 인프라를 전략적으로 타깃으로 삼고 있다는 것이다. CISA와 NSA는 이미 2024년부터 네트워크 엣지 장비를 노리는 APT 그룹들의 활동에 대한 경고를 반복적으로 발표해왔다.
어느 쪽이든, 동일 제품에서 1년에 7번의 제로데이가 나온다는 건 해당 플랫폼을 운영하는 조직이 상시 경계 태세를 유지해야 한다는 신호다.
Mandiant의 역할과 책임 있는 공개
이번 취약점 발견에서 주목할 점은 Google Cloud 산하 Mandiant가 취약점을 Cisco에 보고했다는 사실이다. 이미 실제 공격에서 악용이 확인된 상태에서 보고가 이뤄졌다는 점에서, 이건 “사전 발견”이 아니라 “실시간 침해 대응” 과정에서의 발견이다. 즉, Mandiant가 실제 기업 고객의 침해 사고를 분석하다가 이 제로데이를 발견했을 가능성이 높다.
이런 구조의 발견은 “패치 없이 공개”로 이어질 수밖에 없다. 공격자가 이미 악용하고 있는 상황에서 비밀리에 패치를 기다리는 건 더 많은 피해를 낳기 때문이다. Cisco도 이 점을 인정하면서 빠른 패치 개발을 약속했다.
업계에서는 Cisco가 패치 없이 취약점 정보를 공개한 데 대해 엇갈린 반응을 보이고 있다. 일부는 “이미 야생에서 악용 중이니 공개는 맞다”는 입장이고, 다른 일부는 “패치 없이 공개하면 오히려 더 많은 공격자가 취약점을 이용하게 된다”는 우려를 제기한다. Cisco는 로그 항목과 임시 대응 가이드를 함께 제공하는 방식으로 이 딜레마를 절충하려 했다.
정리
- CVE-2026-20245: Cisco Catalyst SD-WAN Manager CLI에서 입력 검증 부재로 루트 권한 임의 명령 실행 가능
- 공격 조건:
netadmin권한 인증 계정 + 조작된 파일 업로드 - 영향 범위: 온프레미스, Cloud-Pro, Cloud(Cisco 관리), FedRAMP 전 배포 유형
- 패치 없음: 현재 공식 패치 또는 워크어라운드 없음. 향후 릴리스에 포함 예정
- 실제 악용 확인됨: Mandiant가 에지 디바이스 설정 변경 사례 포함 실제 공격 확인
- 2026년 7번째: 동일 제품에서 이례적으로 높은 빈도의 제로데이 발생
대응 우선순위:
- SD-WAN Manager 관리 인터페이스를 인터넷에서 격리
netadmin계정 최소화 및 MFA 적용- 로그 모니터링 강화 (특히 비정상 파일 업로드)
- 5월 Patch Tuesday 패치 미적용 시 즉시 적용
- Cisco 보안 공지 구독, 패치 릴리스 즉시 적용 준비
보안 담당자와 네트워크 엔지니어 모두 Cisco 공식 보안 공지 페이지와 Mandiant의 침해 지표(IOC) 업데이트를 정기적으로 확인할 것을 권장한다.
Reference
- Cisco SD-WAN 0-day exploited, no patch available (CVE-2026-20245) - Help Net Security
- Cisco Warns of 7th SD-WAN Zero-Day Exploited in 2026 - SecurityWeek
- Cisco warns of unpatched SD-WAN zero-day exploited in attacks - BleepingComputer
- CVE-2026-20245: Cisco SD-WAN Manager Zero-Day Enables Root Command Execution - SOCprime
- Cisco Catalyst SD-WAN Manager CVE-2026-20245 Flaw Actively Exploited – No Patch Available - The Hacker News
- Week in review: Cisco SD-WAN 0-day exploited, June 2026 Patch Tuesday forecast - Help Net Security