CISA, 최신 KEV 업데이트로 3개 활발히 악용되는 취약점 경고

CISA, 활발히 악용되는 3개 취약점 KEV 카탈로그에 추가

미국 사이버보안 및 인프라 보안국(CISA)은 Known Exploited Vulnerabilities(KEV) 카탈로그에 새로운 3개의 취약점을 추가했다고 발표했습니다. 2025년 12월 17일에 발표된 이번 업데이트는 Cisco, Adobe, D-Link 제품에서 발견된 취약점이 실제 환경에서 악용되고 있음을 확인했습니다.

기술적 세부 사항

새롭게 추가된 취약점은 다음과 같습니다:

1. CVE-2025-20393 (Cisco)

   • 영향을 받는 제품: Cisco NX-OS 소프트웨어
   • 영향: CLI의 명령어 주입(command injection) 취약점으로, 관리자 권한을 가진 인증된 공격자가 루트 권한으로 임의 명령을 실행할 수 있습니다.
   • CVSS 점수: 7.2 (높음)

2. CVE-2025-20394 (Adobe)

   • 영향을 받는 제품: Adobe ColdFusion
   • 영향: 부적절한 접근 제어 결함으로 인해 임의 파일 시스템 읽기/쓰기 작업이 가능하며, 원격 코드 실행(RCE)으로 이어질 수 있습니다.
   • CVSS 점수: 9.8 (위급)

3. CVE-2025-22556 (D-Link)

   • 영향을 받는 제품: D-Link DIR-846W 라우터(수명 종료 모델)
   • 영향: 인증 우회 취약점으로, 인증되지 않은 공격자가 관리자 권한을 획득할 수 있습니다.
   • CVSS 점수: 8.8 (높음)

영향 분석

KEV 카탈로그에 포함된 이러한 취약점은 위협 행위자에 의한 실제 악용이 확인되었으며, 조직에 중대한 위험을 초래할 수 있습니다:

• CVE-2025-20393: Cisco 데이터센터 환경에서 시스템 완전 침해로 이어질 수 있습니다.
• CVE-2025-20394: Adobe ColdFusion 서버는 랜섬웨어 그룹의 빈번한 공격 대상이 되며, 이 취약점은 초기 접근을 용이하게 할 수 있습니다.
• CVE-2025-22556: 패치가 적용되지 않은 D-Link 라우터는 봇넷 모집이나 SOHO 네트워크 내 횡적 이동에 악용될 수 있습니다.

권고 사항

CISA는 Binding Operational Directive(BOD) 22-01에 따라 연방 민간 기관에 2026년 1월 7일까지 이러한 취약점을 조치할 것을 명령했습니다. 모든 조직은 다음을 수행할 것을 권장합니다:

• 패치 우선 적용: 특히 위급 등급의 Adobe ColdFusion(CVE-2025-20394)에 대해 영향을 받는 시스템에 패치를 우선 적용합니다.
• 격리 또는 폐기: 패치를 사용할 수 없는 경우, 수명 종료된 D-Link 장치(CVE-2025-22556)를 격리하거나 폐기합니다.
• 네트워크 트래픽 모니터링: 이러한 CVE와 관련된 침해 지표(IoC)를 모니터링합니다.
• CISA KEV 카탈로그 정기 검토: 활발히 악용되는 취약점에 대한 업데이트를 정기적으로 확인합니다.

기술적 세부 사항 및 완화 지침은 KEV 카탈로그에 링크된 공식 권고 사항을 참조하시기 바랍니다.