이 문서에서는 2026년 6월 4일과 15일 날짜가 기입된 PSIRT 권고 사항을 기반으로 SD-WAN의 중요한 보안 취약성을 식별하고 해결하는 단계를 설명합니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
자세한 배경 정보 및 최신 업데이트는 공식 PSIRT 자문 페이지를 참조하십시오.
이러한 권고 사항은 다음 링크에서 확인할 수 있습니다.
이러한 결함은 다음 PSIRT 권고에 의해 해결됩니다.
이 권고 사항에서는 Cisco Catalyst SD-WAN의 두 가지 취약점에 대해 설명합니다. 첫 번째(CVE-2026-20245)는 netadmin 권한을 악용해야 하는 SD-WAN 제어 구성 요소의 권한 에스컬레이션 취약성입니다. 두 번째(CVE-2026-20262)는 SD-WAN Manager(vManage)의 임의의 파일 쓰기 취약성으로, 인증된 사용자가 영향을 받는 시스템의 파일 시스템에 있는 모든 파일을 작성하거나 덮어쓸 수 있도록 합니다.
CVE-2026-20245 및 CVE-2026-20262 모두에서 인증되지 않은 원격 공격자가 필요한 자격 증명을 얻기 위한 알려진 경로는 CVE-2026-20182(cisco-sa-sdwan-rpa2-v69WY2SW) 또는 CVE-2026-20127(cisco-sa-sdwan-rpa-EHchtZk) 익스플로잇입니다. CVE-2026-20245은 익스플로잇하려면 netadmin 권한이 필요한 반면, CVE-2026-20262에는 최소한 하위 권한의 단일 작업 사용자 계정이 필요합니다.
제어 구성 요소가 두 권고 사항에 대해 고정 릴리스로 업그레이드되었고 Cisco가 이전 이벤트에 제공한 관리 기술 파일에서 잠재적 IoC(indicators of compromise)를 식별하지 못한 경우, 검토된 파일에 따라 CVE-2026-20245 및 CVE-2026-20262 모두에 대해 알려진 인증되지 않은 익스플로잇 경로가 해당 특정 디바이스에서 완화됩니다. 이렇게 해도 공격자가 유효한 자격 증명을 보유하는 경우 노출이 발생하지 않습니다. Cisco에서는 두 가지 권고 사항에 모두 대해 고정 릴리스로 업그레이드할 것을 권장합니다.
필요한 조치: 이러한 보안 권고 사항을 해결하기 위해 Cisco TAC 케이스를 엽니다.
TAC는 다음과 같은 경우에 사용할 수 있습니다.
필수: 진단 데이터 및 잠재적 IoC(indicators of compromise, 보안 침해 지표)가 보존되도록 업그레이드 또는 컨피그레이션 변경 전에 모든 제어 구성 요소에서 admin-tech 파일을 수집합니다. 이러한 파일은 3단계에서 TAC에서 사용자 환경을 분석하는 데 사용됩니다.
수집: admin-tech 생성의 경우 Log and Tech options를 선택합니다. 코어가 필요하지 않습니다.
SD-WAN 환경에서 관리 기술 수집 및 TAC 케이스에 업로드
참고: TAC에서는 이러한 파일을 분석하여 두 권고 사항과 관련된 보안 침해 지표를 귀사의 환경에 평가합니다. 권한 에스컬레이션 권고의 경우, /var/log/scripts.log에서 합법적인 사용과 악의적인 사용을 구분하지 않는 특정 로그 항목을 중점적으로 분석합니다. TAC의 수동 검토가 필요합니다. 임의의 파일 쓰기 권고의 경우 /var/log/nms/vmanage-server.log의 항목에 대해 분석합니다. 이러한 항목은 표준 작업 중에도 발생할 수 있으며 오탐을 방지하기 위해 정상 작동 상태를 평가해야 합니다.
admin-tech 파일을 공유할 수 없는 경우 수동 확인 단계를 사용할 수 있습니다. 이 단계에서는 문서화하고 TAC와 공유해야 하는 예비 지표를 제공합니다.
자세한 절차는 이 문서의 끝에 있는 수동 확인 단계 섹션을 참조하십시오. 모든 조사 결과를 문서화하고 지원 사례에서 TAC에 제공하십시오.
1단계에서 admin-tech를 수집한 후 Cisco TAC 지원 사례를 열고 수집한 admin-tech 파일을 업로드합니다. TAC에서는 두 권고(CVE-2026-20245 및 CVE-2026-20262)와 관련된 보안 침해 지표에 대한 admin-techs를 분석합니다.
필요한 작업:
cisco-sa-sdwan-privesc-4uxFrdzx 및 cisco-sa-sdwan-arbfw-c2rZvQ로 심각도 3 TAC 케이스를 열어 분석을 시작합니다.
TAC는 2단계에서 업로드한 admin-tech 파일의 예비 분석을 수행하고 두 권고(CVE-2026-20245 및 CVE-2026-20262)와 관련된 보안 침해 지표를 평가합니다.
권고 CVE-2026-20245의 경우 각 제어 구성 요소(vManage, vSmart 및 vBond)의 /var/log/scripts.log에 있는 특정 로그 항목에 분석이 집중됩니다. 기본 명령이 합법적이며 로그는 합법적인 사용과 악의적인 사용을 구분하지 않으므로, 일치하는 엔트리는 확인 지표로 취급되기 전에 정상 작동 상태에 대한 TAC의 수동 검토가 필요합니다.
권고 CVE-2026-20262의 경우 각 관리자(vManage)의 /var/log/nms 디렉토리 여러 파일에 분석이 집중됩니다. 경우에 따라 표준 작업 중에 이러한 보안 침해 지표가 발생할 수 있습니다.
이러한 로그는 합법적인 사용과 악의적인 사용을 구분하지 않습니다. 따라서 일치하는 엔트리는 확인 지표로 취급되기 전에 정상 작동 상태에 대한 TAC의 수동 검토가 필요합니다.
TAC 분석의 가능한 결과:
참고: CVE-2026-20245 권고 사항에 따르면 익스플로잇에는 netadmin 권한이 필요한 반면 CVE-2026-20262에는 최소한 하위 권한의 단일 작업 사용자 계정이 필요합니다. 인증되지 않은 공격자는 CVE-2026-20182 또는 CVE-2026-20127의 유효한 자격 증명 또는 익스플로잇을 통해 이러한 자격 증명을 얻을 수 있습니다. 제어 구성 요소가 두 권고 사항에 대해 고정 릴리스로 업그레이드되고 이전 이벤트에 대한 보안 침해 지표가 식별되지 않은 경우, 검토된 파일에 따라 CVE-2026-20245 및 CVE-2026-20262 모두에 대해 알려진 인증되지 않은 익스플로잇 경로가 해당 특정 디바이스에서 완화됩니다.
TAC에서 해당 환경의 이러한 권고와 관련된 보안 침해 지표를 파악하면 TAC에서 구체적인 지침을 제공합니다. TAC에서 제공하는 모든 지침을 완료합니다.
두 가지 권고 사항에 대해 보안 침해 지표가 식별되지 않은 경우, 검토된 관리 기술 파일을 기준으로 현재 보안 침해 평가와 관련된 추가 조치가 필요하지 않습니다. 두 가지 권고 사항에 대해 고정 릴리스로 업그레이드하는 것이 좋습니다.
이러한 소프트웨어 릴리스에는 식별된 취약성에 대한 수정 사항이 포함되어 있습니다.
| 현재 버전에 적용 | 고정 버전 | 사용 가능한 소프트웨어 |
|---|---|---|
| 20.9.9.1 이전 | 20.9.9.2 | vManage, vSmart 및 vBond용 20.9.9.2 업그레이드 이미지 |
| 20.12.7.1 이전 | 20.12.7.2 | vManage, vSmart 및 vBond의 20.12.7.2 업그레이드 이미지 |
| 20.15.4.4 이전 | 20.15.4.5 | vManage, vSmart 및 vBond의 20.15.4.5 업그레이드 이미지 |
| 20.15.5.2 이전 | 20.15.5.3 | vManage, vSmart 및 vBond의 20.15.5.3 업그레이드 이미지 |
| 20.16, 20.17, 20.18.x | 20.18.3.1 | vManage, vSmart 및 vBond의 20.18.3.1 업그레이드 이미지 |
| 26.1 | 26.1.1.2 | vManage, vSmart 및 vBond용 26.1.1.2 업그레이드 이미지 |
중요 참조:
성공적인 교정이 끝나면 Cisco는 구체적인 보안 보증 요구 사항을 토대로 여기에 나열된 위생 활동을 평가하고 이행할 것을 권장합니다. 이러한 활동은 어떤 교정 옵션을 선택했는지에 관계없이 적용됩니다. 사용자 관리, Cisco는 고객을 대신하여 직접 또는 수행하지 않습니다.
Cisco는 특정 교정 경로를 권장하지 않습니다. 교정 옵션의 선택은 각 고객에게 달려 있습니다.
참고: 에지 디바이스의 손상이 의심되는 경우, 영향을 받는 에지 디바이스의 공장 재설정 및 재온보딩은 고객이 선택할 때 고려해야 할 조치입니다. 이러한 접근 방식을 추구할지 여부 및 선택할 수 있는 옵션은 각 고객에게 있습니다.
보안 공장 재설정을 수행하는 적절한 명령은 다음과 같습니다.
factory-reset all secure
참고: Admin-tech 수집이 기본 설정 방법입니다. 관리 기술 파일을 수집하고 TAC와 공유할 수 없는 경우에만 여기에 표시된 수동 확인 단계를 사용하십시오. 이 수동 단계의 결과는 예비 단계입니다. 조사 결과를 문서화하고 공식 평가를 수행하는 TAC와 공유합니다.
참고: 두 권고 사항 모두 수동 확인은 대상 로그 확인으로 구성됩니다. 이러한 점검의 대상이 되는 로그 항목은 합법적인 명령 및 활동에 의해 생성되며, 로그만으로는 합법적인 사용과 악의적인 사용을 구분하지 않습니다. 일치하는 엔트리는 잠재적 표시기로 취급되기 전에 정상적인 작동 상태를 기준으로 검토해야 합니다. 일치하는 항목을 정상 운영과 조정할 수 없는 경우, 검색 결과를 문서화하고 TAC와 공유합니다.
항목에 대한 각 제어 구성 요소의 scripts.log 확인PSIRT 권고에 따라 사용자는 이 예와 유사한 항목의 로그 파일을 감사하는 것이 좋습니다. 릴리스 20.9 이상에서는 이 항목이 scripts.log at/var/log/에 있습니다. 20.9 이전 릴리스의 경우, 동일한 데이터는 vdebug logs at /var/log/tmplog/:
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
1단계: 각 제어 구성 요소의 vshell에 액세스하고 CVE-2026-20245 표시기에 대한 적절한 로그 파일을 검색합니다.
로그 파일 위치는 제어 구성 요소에서 실행 중인 소프트웨어 릴리스에 따라 달라집니다. 검색을 실행하기 전에 환경에 적용할 항목을 결정합니다.
릴리스 20.9 이상 — /var/log/tmplog/에서 scripts.log를 검색합니다.
vManage CLI에서 vshell로 드롭하고 다음을 실행합니다.
vs
zgrep "vconfd_script_upload_tenant_list.sh" /var/log/scripts.log*
20.9 이전 릴리스 — vdebug 로그 검색 /var/log/tmplog/:
20.9 이전 릴리스에서는 scripts.log가 없습니다. 동등한 로그 데이터는 /var/log/tmplog/vdebug에 기록됩니다. 최대 5개의 롤링 번호가 지정된 파일이 보존됩니다(vdebug, vdebug.1~vdebug.5). 모든 활성 파일 검색:
vs
zgrep "vconfd_script_upload_tenant_list.sh" /var/log/tmplog/vdebug*
활성 파일 외에도 오래된 로그는 vdebug_<timestamp>.tar.gz라는 이름 지정 패턴을 사용하여/var/log/에서 압축된 tar 파일로 보관되며, 로그 데이터는 var/log/tmplog의 아카이브 내에 저장됩니다. 모든 아카이브 검색:
for f in /var/log/vdebug_*.tar.gz; do echo "=== $f ==="; tar -xOf "$f" var/log/tmplog 2>/dev/null | grep "vconfd_script_upload_tenant_list.sh"; done
구축의 각 제어 구성 요소(모든 클러스터 멤버 및 DR 쌍 vManage 포함)에 대해 해당되는 모든 검사를 반복합니다.
2단계: TAC용 결과 및 문서 해석
일치하는 엔트리가 반환되지 않는 경우
일치하는 항목이 반환되는 경우:
를 캡처합니다.PSIRT 권고에 따라 사용자는 각 관리자(vManage)에서 다음 예와 유사한 항목에 대해 이러한 로그 파일을 감사하는 것이 좋습니다.
vmanage-server.log의 의심스러운 항목 예(/var/log/nms/에 위치)
11-June-2026 03:53:37,310 EDT INFO [a66cdc5f-807d-4c23-944e-5c809a2ece6b] [server] [SdraAnyConnectFileUploadHandler] (default task-40704) |default| uploaded Remote Access Anyconnect profile file: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war to vManage.
vmanage-appserver.log의 의심스러운 항목 예(/var/log/nms/에 위치)
11-June-2026 07:52:55,275 UTC INFO [server] (DeploymentScanner-threads - 2) WFLYSRV0010: Deployed "suspicious.war" (runtime-name : "suspicious.war")
serviceproxy-access.log의 의심스러운 항목 예(/var/log/nms/containers/service-proxy/에 있음)
POST /suspicious/index.jsp HTTP/1.1
참고: 20.9 이전 릴리스의 경우 serviceproxy-access.log는 /var/log/nms/containers/service-proxy/가 아니라/var/log/nms/에 있습니다.
1단계: 각 관리자(vManage)에서 vshell에 액세스하고 로그 파일을 검색합니다.
vManage CLI에서 vshell로 드롭하고 다음을 실행합니다.
vs
zgrep "SdraAnyConnectFileUploadHandler" /var/log/nms/vmanage-server.log*
zgrep "WFLYSRV0010" /var/log/nms/vmanage-appserver.log*
일부 릴리스에서는 vshell에서 직접 서비스 프록시 로그에 액세스할 수 있습니다. 루트 셸 액세스가 필요한 릴리스에서 admin-tech를 다운로드하고 다음과 유사한 명령을 사용하여 동일한 방법으로 그 안에 있는 serviceproxy-access.log 파일을 검색합니다.
릴리스 20.9 이상:
tar -xOf .tar.gz var/log/nms/containers/service-proxy/serviceproxy-access.log 2>/dev/null | grep "suspicious"
20.9 이전 릴리스:
tar -xOf .tar.gz var/log/nms/serverproxy-access.log 2>/dev/null | grep "suspicious"
vshell에서 직접 액세스하는 경우 의심스러운 작업 대신 이전 두 명령의 결과에서 식별된 .war 파일 이름을 사용합니다(확장자 없음).
릴리스 20.9 이상:
zgrep "POST" /var/log/nms/containers/service-proxy/serviceproxy-access.log* | grep "suspicious"
20.9 이전 릴리스:
zgrep "POST" /var/log/nms/serverproxy-access.log* | grep "suspicious"
구축의 모든 vManage(모든 클러스터 멤버 및 DR 쌍 vManage 포함)에서 검사를 반복합니다.
2단계: TAC용 결과 및 문서 해석
일치하는 엔트리가 반환되지 않는 경우
일치하는 항목이 반환되는 경우:
-server.log에서 일치하는 각 항목에 대해 타임스탬프, 전체 로그 라인 및 업로드 처리기에서 참조되는 파일 경로를 캡처합니다.Q: 이러한 보안 권고 사항을 해결하기 위한 첫 번째 단계는 무엇입니까?
A : 업그레이드 또는 컨피그레이션 변경 전에 모든 제어 구성 요소(vSmart, vManage, vBond)에서 admin-tech 파일을 수집하여 진단 데이터 및 잠재적 보안 침해 지표를 보존합니다. 그런 다음 Cisco TAC 케이스를 열고 TAC에서 분석할 수 있도록 admin-techs를 업로드합니다.
Q: Cisco에서 이러한 취약점에 대한 소프트웨어 수정을 릴리스했습니까?
A : 예. Fixed Software Versions(고정 소프트웨어 버전) 섹션에 나열된 대로 두 권고 사항에 모두 고정 릴리스를 사용할 수 있습니다. 해결 방법이 없습니다.
Q: Cisco에서 업그레이드 이외의 조치를 권장하는 이유는 무엇입니까?
A : 이러한 취약성을 악용하려면 인증된 사용자가 필요합니다. 인증되지 않은 공격자는 유효한 자격 증명 또는 CVE-2026-20182 또는 CVE-2026-20127의 익스플로잇을 통해서만 이러한 자격 증명을 얻을 수 있습니다. 제어 구성 요소가 고정 릴리스로 업그레이드되도록 하는 것은 이러한 취약성을 악용하는 데 필요한 권한을 얻기 위해 알려진 인증되지 않은 경로를 해결하는 것입니다. 3단계의 admin-tech 분석을 통해 검토된 파일에 보안 침해 지표가 있는지 여부를 확인할 수 있습니다.
Q: 모든 제어 구성 요소에서 admin-techs를 수집해야 합니까?
A : 예. TAC에서는 모든 컨트롤러(vSmart, 한 번에 하나씩 수집됨), 모든 관리자(vManage) 및 모든 검증자(vBond)의 관리 기술 파일이 분석을 수행해야 합니다.
Q: TAC는 내 시스템에 이러한 조언과 관련된 IOC가 있는지 어떻게 확인합니까?
A : TAC에서는 각 권고에 대한 보안 침해 지표를 확인하기 위해 관리 기술 파일을 검토합니다. 권한 에스컬레이션 권고(CVE-2026-20245)의 경우 TAC는 각 제어 구성 요소에서 /var/log/scripts.log의 특정 로그 항목을 찾습니다. 임의의 파일 쓰기 권고(CVE-2026-20262)의 경우, TAC는 각 Manager의 세 가지 로그 파일에서 특정 로그 항목을 찾습니다. /var/log/nms/vmanage-server.log, /var/log/nms/vmanage-appserver.log 및 /var/log/nms/containers/service-proxy/serviceproxy-access.log를 참조하십시오. 두 경우 모두 기본 활동이 표준 작업 중에 발생할 수 있습니다. 일치하는 엔트리는 확인 지표로 취급되기 전에 정상 작동 상태에 대해 TAC에서 검토합니다.
Q: 보안 침해 지표가 식별되면 어떻게 됩니까?
A : TAC에서 구체적인 지침을 제공합니다. 업그레이드만으로는 확인된 보안 침해가 해결되지 않습니다. TAC의 지침은 2026년 5월 및 2026년 2월 자문에 대한 관련 TechZone 문서에 설명된 흐름을 기반으로 합니다.
Q: 에지 라우터(Cisco IOS XE)는 이러한 권고의 영향을 받습니까?
A : 이러한 권고는 주로 Cisco Catalyst SD-WAN 제어 구성 요소에 영향을 미칩니다. CVE-2026-20245(Privilege Escalation Advisory)의 경우 모든 제어 구성 요소(vManage, vSmart, vBond)가 영향을 받으며, Cisco에서는 악용으로 인해 구성 변경이 에지 디바이스에 푸시되는 제한된 경우를 관찰했습니다. 사용자는 에지 디바이스의 컨피그레이션을 확인하는 것이 좋습니다. 임의의 파일 쓰기 권고(CVE-2026-20262)의 경우 취약성은 SD-WAN Manager 파일 시스템에 국한되며 에지 디바이스에 직접적인 영향을 미치지 않습니다.
Q: 어떤 구축 유형이 영향을 받습니까?
A : 이러한 권고에 따라, 이러한 취약점은 온프레미스 구축, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud(Cisco Managed), Cisco SD-WAN Cloud for Government(FedRAMP) 등 디바이스 구성에 관계없이 모든 Cisco Catalyst SD-WAN 구축 유형에 영향을 미칩니다.
Q: 나는 이미 2026년 5월과 2026년 2월에 대한 권고를 업그레이드했으며 이러한 이벤트에 대한 보안 침해 지표가 확인되지 않았습니다. 이러한 새로운 취약점에 노출되었습니까?
A : 제어 구성 요소가 CVE-2026-20182 및 CVE-2026-20127 모두에 대해 고정 릴리스를 실행하고 있고 검토된 관리 기술 파일에서 이전 이벤트에 대한 보안 침해 지표가 식별되지 않은 경우, 검토된 파일에 따라 CVE-2026-20245 및 CVE-2026-20262 모두에 대해 알려진 인증되지 않은 익스플로잇 경로가 해당 특정 디바이스에서 완화됩니다. 이렇게 해도 공격자가 유효한 자격 증명을 보유하는 경우 노출이 발생하지 않습니다. Cisco에서는 이러한 조언을 위해 고정 릴리스로 업그레이드할 것을 권장합니다.
Q: TAC를 기다리지 않고 직접 검증을 수행할 수 있습니까?
A : admin-techs를 공유할 수 없는 사용자는 부록에 설명된 수동 확인 단계를 수행할 수 있습니다. 그 결과는 예비; 조사 결과를 문서화하고 공식 평가를 수행하는 TAC와 공유합니다.
Q: SD-WAN 오버레이를 강화하기 위한 일반적인 모범 사례는 무엇입니까?
A : 모범 사례는 Cisco Catalyst SD-WAN 강화 가이드를 참조하십시오.
Q: Cisco TAC는 이러한 취약점에 대한 포렌식 분석 또는 조사 서비스를 제공합니까?
A : Cisco TAC는 두 PSIRT 권고에 문서화된 보안 침해 지표에 대한 관리 기술 파일을 검토하여 사용자를 지원할 수 있습니다. Cisco TAC는 심층 포렌식 분석 또는 사고 조사를 수행하지 않습니다. 포괄적인 포렌식 작업 또는 세부적인 보안 조사를 위해 사용자는 선호하는 서드파티 IR(Incident Response) 회사의 참여를 권장합니다.
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
8.0 |
22-Jun-2026
|
20.9 이전 릴리스에 대해 업데이트된 확인 단계 |
7.0 |
16-Jun-2026
|
추가 정보를 포함하도록 부록 업데이트 |
6.0 |
16-Jun-2026
|
CVE-2026-20262에 대해 추가된 정보 |
5.0 |
12-Jun-2026
|
고정 소프트웨어 릴리스 추가 |
4.0 |
11-Jun-2026
|
26.1.1.2 이미지 발표 |
3.0 |
10-Jun-2026
|
고정 버전 20.18.3.1 추가 |
2.0 |
05-Jun-2026
|
문서 업데이트 |
1.0 |
05-Jun-2026
|
최초 릴리스 |