Cisco FMC 제로데이 취약점 악용 확인
- 이시우
- 1일 전
- 2분 분량
최종 수정일: 4시간 전
Cisco Secure Firewall Management Center(Secure FMC)에서 확인된 원격 코드 실행 취약점 CVE-2026-20131이 실제 공격에 악용되고 있는 것으로 확인되었습니다. Cisco는 2026년 3월 4일 해당 취약점을 공개하고 패치 버전을 제공했지만, Amazon Threat Intelligence에 따르면 Interlock 랜섬웨어 그룹은 이미 2026년 1월 26일부터 이 취약점을 악용해 온 것으로 보고되었습니다.
해당 취약점은 공개 이전부터 이미 공격에 사용되고 있었습니다.
Cisco Secure FMC 취약점 개요
문제는 Secure FMC의 웹 관리 인터페이스에서 외부로부터 전달되는 Java 직렬화 데이터를 안전하게 처리하지 못한다는 점에서 발생합니다. Cisco와 NVD에 따르면, 공격자는 조작된 직렬화 객체를 전송하여 인증 없이 임의의 Java 코드를 원격 실행할 수 있으며, 최종적으로 root 권한까지 획득할 수 있습니다. 해당 취약점의 심각도는 CVSS 10.0으로 매우 높은 수준입니다.
하지만 더 중요한 것은 취약점 자체가 아니라, 실제로 어떻게 사용되고 있는지입니다. Amazon Threat Intelligence는 이 취약점을 이용한 실제 공격 활동을 추적했으며, 악성 요청, 후속 URL, 추가 ELF 페이로드 다운로드 흐름을 확인했습니다. 분석 결과, Interlock 랜섬웨어 운영자가 해당 취약점을 공격 체인에 포함해 활용한 것으로 나타났습니다.
이는 취약점 공개 이전부터 이미 실제 악용이 진행되고 있었음을 의미합니다. Secure FMC는 방화벽 정책과 인프라를 중앙에서 관리하는 핵심 시스템입니다. 따라서 외부에 노출된 상태에서 침해될 경우, 단일 시스템 문제가 아닌 전체 환경에 대한 가시성 확보와 함께 Lateral Movement로 이어질 수 있는 진입점이 됩니다.
영향 범위
주요 영향 대상은 온프레미스 Cisco Secure FMC 환경입니다. 웹 관리 인터페이스가 인터넷에 노출된 경우, 즉시 접근 제한이 필요합니다. 인터넷 노출을 줄이는 것은 공격 표면을 감소시키지만, 취약한 버전을 운영하는 것 자체가 여전히 직접적인 리스크입니다.
아래는 영향받는 버전과 수정 버전입니다:
영향받는 버전 | 수정 버전 |
6.4.0.13 ~ 6.4.0.18 | 7.0.9 이상 |
7.0.0 ~ 7.0.8.1 | 7.0.9 이상 |
7.1.0 ~ 7.1.0.3 | 7.2.11 이상 |
7.2.0 ~ 7.2.10.2 | 7.2.11 이상 |
7.3.0 ~ 7.3.1.2 | 7.4.6 이상 |
7.4.0 ~ 7.4.5 | 7.4.6 이상 |
7.6.0 ~ 7.6.4 | 7.6.5 이상 |
7.7.0 ~ 7.7.11 | 7.7.12 이상 |
10.0.0 | 10.0.1 이상 |
또한 CISA KEV 및 CSA Singapore 등 일부 권고에서는 Cisco Security Cloud Control(SCC) Firewall Management 역시 영향 대상 가능성이 언급되고 있습니다. 따라서 현재 운영 환경이 온프레미스 Secure FMC인지, 그리고 SCC 기반 관리 환경인지 함께 확인해야 합니다.
권고 사항
운영 환경에서는 다음 항목을 우선적으로 점검해야 합니다:
웹 관리 인터페이스의 인터넷 노출 여부
취약 버전 사용 여부
패치 적용 여부
비정상 트래픽 존재 여부
Amazon이 식별한 인프라와의 통신 여부
해당 취약점은 2026년 1월 26일부터 이미 악용된 정황이 확인되었습니다.따라서 단순 패치 적용만으로는 충분하지 않습니다. 취약점 악용과 연관된 비정상 요청, 악성 파일 다운로드 또는 업로드 흔적이 존재하는지에 대한 추가 점검이 필요합니다. AWS는 관련 Network IOC를 공개했습니다.
Network IOC
IP Addresses
206[.]251[.]239[.]164
199[.]217[.]98[.]153
89[.]46[.]237[.]33
144[.]172[.]94[.]59
199[.]217[.]99[.]121
188[.]245[.]41[.]78
144[.]172[.]110[.]106
95[.]217[.]22[.]175
37[.]27[.]244[.]222
Domains
cherryberry[.]click
ms-server-default[.]com
initialize-configs[.]com
ms-global[.]first-update-server[.]com
ms-sql-auth[.]com
kolonialeru[.]com
sclaire[.]it[.]com
browser-updater[.]com
browser-updater[.]live
os-update-server[.]com
os-update-server[.]org
os-update-server[.]live
os-update-server[.]top
Cisco는 별도의 우회 방법을 제공하지 않았으며, 소프트웨어 업데이트 적용을 권고하고 있습니다.핵심 대응은 패치 적용과 관리 인터페이스 외부 노출 차단입니다.
왜 중요한가
이번 사례는 외부에 노출된 인프라가 얼마나 빠르게 실제 공격 진입점으로 전환될 수 있는지를 보여줍니다.
이는 단일 취약점의 문제가 아니라, 중앙 관리 시스템과 같이 외부 노출 시 영향 범위가 큰 자산이 공격자에게 우선적인 목표가 되는 구조적 패턴을 반영합니다. 이러한 관점은 External Attack Surface Management(EASM)와 Continuous Threat Exposure Management(CTEM)의 필요성과 직접적으로 연결됩니다. 결국 보안 성과는 얼마나 빠르게 노출을 식별하고, 검증하고, 공격자가 활용하기 전에 차단할 수 있는지에 의해 결정됩니다.
작성자: 이시우 Threat Analyst | DeepACT MDR Center
