Cisco SD-WAN Manager 임의 파일 작성 취약점 (CVE-2026-20262)

‍

Cisco SD-WAN Manager 임의 파일 작성 취약점 (CVE-2026-20262)

‍

■ 개요

‍

Cisco Catalyst SD-WAN Manager는 여러 지점에 분산된 SD-WAN 네트워크를 한곳에서 제어하는 중앙 관리 서버입니다. 엣지 라우터·트래픽 정책·인증서·소프트웨어 이미지를 일괄 관리하는 핵심 인프라입니다. CVE-2026-20262는 이 컨트롤러의 웹 UI 파일 업로드 처리에서 경로 탐색을 허용해 임의 파일 작성으로 이어지는 취약점입니다. 온프레미스 설치형뿐 아니라 Cloud-Pro, Cisco Managed Cloud, FedRAMP 인스턴스까지 동일하게 영향을 받아 클라우드 호스팅 형태도 예외가 아닙니다.

공격에는 인증이 필요하지만 요구 권한은 쓰기 권한을 가진 낮은 권한 계정 수준(CVSS 벡터 PR:L)에 불과합니다. 인증을 통과한 공격자는 조작된 HTTP 요청으로 임의 경로에 파일을 쓸 수 있고, 내장 WildFly 애플리케이션 서버의 배포 디렉터리에 .war 패키지가 작성되면 컨테이너가 이를 즉시 로드해 루트 권한의 임의 코드를 실행합니다. CVSS 표면 영향은 무결성 High에 머물지만, 실제 공격의 결과는 컨트롤러 완전 장악까지 이어집니다.

이러한 위험도를 반영해 Cisco는 내부 보안 모니터링에서 실제 환경 악용 정황을 직접 확인했다고 밝혔습니다. 권고가 공개된 2026-06-15 같은 날 CISA는 KEV 카탈로그에 등재해 BOD 22-01(Binding Operational Directive, 구속력 있는 운영 지침)에 따라 미 연방 기관에 2026-06-29까지 패치를 의무화했습니다. 2026년 들어 SD-WAN Manager에서 기록된 여덟 번째 활성 악용 사례로, 해당 컨트롤러가 표적 캠페인의 상시 진입점이 됐다는 신호입니다.

‍

■ 요약

‍

‍

■ 기술 분석

‍

컨트롤러 장악으로 이어지는 이 취약점은 SD-WAN Manager 웹 UI의 파일 업로드 처리 루틴에서 비롯됩니다. 이 루틴은 사용자 제공 경로 파라미터를 정규화하거나 허용 목록으로 제한하지 않고 디스크 기록 함수로 그대로 전달합니다. NVD가 부여한 분류는 CWE-22(Improper Limitation of a Pathname to a Restricted Directory)로, 공격자는 요청에 ../ 시퀀스를 끼워 넣어 격리된 적재 디렉터리 바깥의 임의 위치에 파일을 작성할 수 있는 구조입니다.

조작된 POST 요청은 쓰기 권한 인증 세션에서 /var/lib/wildfly/standalone/deployments/ 경로에 임의 .war 패키지를 떨어뜨리는 데 사용됩니다. SD-WAN Manager 내부는 WildFly(JBoss) 애플리케이션 서버로 동작하며 해당 디렉터리는 핫 디플로이 대상입니다. 따라서 드롭된 .war는 별도 재시작 없이 즉시 서블릿으로 로드됩니다. 컨테이너 프로세스가 루트 권한으로 실행되기 때문에 "저권한 인증 → 루트 RCE" 체인이 단일 요청 흐름에서 성립합니다.

이 공격 흐름과 관련해 취약 함수의 소스 발췌나 패치 diff는 폐쇄 소스 제품 특성상 Cisco가 공개하지 않았습니다. 다만 권고문은 영향 트레인별 패치 버전과 IoC 로그 시그니처를 명시했고, NVD가 CWE-22로 분류한 만큼 경로 정규화 누락이라는 근본 원인은 명확합니다. 영향 트레인 매핑과 침해 흔적 조사는 운영 환경에서 즉시 수행할 수 있습니다.

‍

■ 탐지 및 점검

‍

이 공격 흐름을 확인하기 위한 권고문 IoC는 세 종의 로그 파일에 집중돼 있고, 모두 SD-WAN Manager 호스트에서 즉시 점검할 수 있습니다. 경로 탐색 패턴과 비정상 .war·.jsp 활동이 핵심입니다.

# vmanage-server.log: 디렉터리 순회 시도 및 WildFly 배포 경로 기록 확인
grep -E "\.\./" /var/log/nms/vmanage-server.log
grep -E "/var/lib/wildfly/standalone/deployments/" /var/log/nms/vmanage-server.log

# serviceproxy-access.log: 비정상 컨텍스트 경로로 향한 POST .jsp 요청 확인
grep -E "POST .*/index\.jsp" /var/log/nms/containers/service-proxy/serviceproxy-access.log

• vmanage-server.log에서 업로드 요청에 포함된 ../ 시퀀스 또는 /var/lib/wildfly/standalone/deployments/ 절대 경로 기록을 점검합니다.

• vmanage-appserver.log에서 정규 배포 절차로 설명되지 않는 .war 핫 디플로이 이벤트가 있는지 확인합니다.

• serviceproxy-access.log에서 낯선 컨텍스트 경로로 향한 POST … /index.jsp 요청을 추출하고 호출자 IP·세션을 식별합니다.

• WildFly 배포 디렉터리와 웹 애플리케이션 경로에 권고 공개일 이전 mtime이 없는 .war·.jsp 파일이 존재하는지 파일시스템에서 교차 비교합니다.

• 쓰기 권한 운영자 계정의 공개 전후 로그인 이력·API 호출 패턴을 감사 로그에서 점검하고 비정상 세션을 격리합니다.

‍

■ 대응 방안

‍

• 영향 버전 또는 IoC 여부를 확인한 즉시 운영 중인 트레인에 맞춰 패치 버전으로 업그레이드합니다. 패치 대상 버전은 20.9.9.2 / 20.12.7.2 / 20.15.4.5 / 20.15.5.3 / 20.18.3.1 / 26.1.1.2입니다.

• 패치 적용이 즉시 불가능한 경우 SD-WAN Manager 웹 UI 접근을 관리 네트워크·점프 호스트로 제한하고 인터넷 노출 인터페이스를 차단합니다.

• 모든 운영자·쓰기 권한 계정의 패스워드를 강제 교체하고, 침해 정황이 의심되는 계정과 API 토큰은 즉시 비활성화합니다.

• IoC가 확인된 경우 패치만으로 침해 흔적을 제거하기 어렵습니다. SD-WAN 디바이스 인증서·키 자료를 재발급하고 컨트롤러 클린 인스톨을 함께 검토해야 합니다.

• CISA KEV 등재 및 BOD 데드라인(2026-06-29)에 따라 패치·검증·증빙 절차를 최우선 처리 항목으로 기록·보고합니다.

‍

[참고 자료]

Cisco Security Advisory — cisco-sa-sdwan-arbfw-c2rZvQ

BleepingComputer — Cisco fixes SD-WAN vManage flaw exploited in zero-day attacks

SecurityWeek — Cisco Patches Another SD-WAN Zero-Day Exploited in Attacks

SOC Prime — CVE-2026-20262 Cisco SD-WAN Manager Zero-Day

CyberSecurityNews — Cisco SD-WAN vManage Vulnerability Exploited in Zero-Day Attacks