CVE-2025-20393은 Cisco AsyncOS 배포와 관련된 최고 심각도 보안 문제입니다. Cisco 보안 이메일 게이트웨이(SEG) 그리고 Cisco 보안 이메일 및 웹 관리자(SEWM). 핵심 위험은 미묘하지 않습니다. 공격자는 다음을 실행할 수 있습니다. 루트 권한이 있는 임의의 시스템 명령 영향을 받는 기기에 대한 증거가 있습니다. 이미 야생에서 악용되고 있습니다.. (NVD)
방어자 입장에서는 최악의 상황에 놓이게 됩니다. SEG/SEWM 어플라이언스는 신뢰할 수 없고 반투명하며 운영적으로 '특수'한 경향이 있어 상용 서버보다 패치가 느리고 모니터링이 덜 포괄적이며 메일 흐름과 관리 네트워크에 대한 광범위한 권한을 부여받는 경우가 많습니다. 엣지 어플라이언스가 공격자가 제어하는 호스트가 되면 이는 단순한 엔드포인트 인시던트가 아니라 중요한 전환점이 됩니다.
이 글에서는 하드코어 보안 엔지니어에게 실제로 중요한 노출 조건, 침해 후 수법, 고신호 탐지 아이디어, 패치가 아직 제공되지 않는 경우에도 실행할 수 있는 실용적인 격리 단계에 초점을 맞추고 있습니다.
CVE-2025-20393은 어떤 유형의 취약점인가요?
분류 수준에서 NVD는 CVE-2025-20393을 다음과 같이 기록합니다. CWE-20: 부적절한 입력 유효성 검사를 사용하여 CVSS v3.1 기본 벡터 네트워크 공격, 권한 필요 없음, 사용자 상호 작용 없음, 전체 침해 영향을 나타냅니다. (NVD)
실제로 여러 소식통은 그 영향을 다음과 같이 요약합니다: 루트 권한으로 인증되지 않은 원격 명령 실행 영향을 받는 어플라이언스의 기본 운영 체제에서. (Cisco Talos 블로그)
NVD에는 CISA KEV 업데이트도 표시됩니다: 추가 날짜: 2025-12-17; 만료 날짜: 2025-12-24와 함께 공급업체 완화 조치를 적용하거나 완화 조치를 사용할 수 없는 경우 사용을 중단하는 데 필요한 조치를 안내합니다. (NVD)
영향을 받는 제품 및 실제 노출 조건
중요한 뉘앙스: AsyncOS 버전이 광범위하게 관련되어 있지만, 관찰된 익스플로잇은 제한된 하위 집합 를 갖춘 기기의 비표준 구성-특히 다음과 같은 경우 스팸 격리 가 활성화되어 인터넷에 노출되어 있습니다. (컴퓨터)
여러 보고서에서 다음과 같은 점을 강조합니다. 스팸 검역은 기본적으로 사용 설정되어 있지 않습니다.배포 가이드에서는 관련 포트가 인터넷에 노출될 것을 요구하지 않으므로 많은 환경이 구성 선택, 드리프트 또는 편의성 중심의 '일시적' 노출을 통해 취약해져 영구적으로 노출될 수 있습니다. (헬프넷 보안)
영향을 분류할 때는 추측하지 마세요. 여러분의 첫 번째 임무는 두 가지 질문에 증거를 가지고 답하는 것입니다:
- SEG 또는 SEWM(물리적 또는 가상)을 실행하나요?
- 신뢰할 수 없는 네트워크에서 스팸 검역소 또는 웹 관리 인터페이스에 액세스할 수 있나요?
두 가지 모두에 대한 답변이 "예"인 경우 달리 입증될 때까지 인시던트로 처리합니다.
이 CVE가 운영상 위험한 이유: 관찰된 침입 체인 및 툴링
Cisco Talos는 활동의 속성( 보통의 자신감)를 중국 넥서스 위협 행위자로 추적하는 것으로 나타났습니다. UAT-9686캠페인은 적어도 다음과 같은 시점부터 진행되어 왔다고 언급합니다. 2025년 11월 말시스코는 다음 사항에 대해 인지하고 있습니다. 2025년 12월 10일. (Cisco Talos 블로그)
방어자와 관련된 부분은 초기 액세스 이후에 일어나는 일입니다. Talos는 지속성, 터널링, 포렌식 방지를 위해 구축된 툴체인을 설명합니다:
- 아쿠아쉘파이썬 기반 웹 서버 내의 기존 파일에 내장된 경량 파이썬 백도어입니다. 수동적으로 다음을 수신 대기합니다. 인증되지 않은 HTTP POST 특수하게 조작된 데이터가 포함된 요청을 처리하고, 콘텐츠를 디코딩하고, 시스템 셸에서 명령을 실행합니다. Talos에 따르면
/데이터/웹/euq_webui/htdocs/index.py. (Cisco Talos 블로그) - 아쿠아퍼지다음을 사용하여 지정된 로그 파일에서 특정 키워드가 포함된 로그 행을 제거합니다.
egrep스타일 필터링을 사용하여 "깨끗한" 줄을 유지하고 다시 씁니다. (Cisco Talos 블로그) - 아쿠아터널다음을 기반으로 컴파일된 Go 바이너리 ReverseSSH를 사용하여 공격자 인프라에 대한 역방향 SSH 연결을 생성합니다. (Cisco Talos 블로그)
- Chisel단일 HTTP 기반 연결을 통해 TCP/UDP 터널을 지원하는 오픈 소스 터널링 도구로, 엣지 디바이스를 통한 프록시 및 피벗에 유용합니다. (Cisco Talos 블로그)
이는 대응 자세를 바꾸기 때문에 중요합니다. 배우의 플레이북에 지속성 임플란트와 로그 조작이 포함된 경우 로컬 로그의 부분적인 실명을 가정하고 다음을 기반으로 계획을 세워야 합니다. 외부 원격 측정 (방화벽 로그, 프록시 로그, NetFlow, DNS 로그)를 분석하여 어플라이언스가 공격자 인프라와 통신했는지 여부를 확인합니다.
고신호 IOC와 이를 처리하는 방법
탈로스는 캠페인과 관련된 도구(AquaTunnel, AquaPurge, Chisel)와 작은 IP 주소 세트에 대한 예시 SHA-256 해시를 공개했으며, 전체 IOC 세트에 대한 GitHub 리포지토리를 가리켰습니다. (Cisco Talos 블로그)
실용적인 엔지니어의 접근 방식은 IOC를 다음과 같이 취급하는 것입니다. 빠른 분류 가속기결정적인 증거가 아닙니다:
- 포지티브 히트 도구 해시 또는 알려진 IP에서 즉시 에스컬레이션하고, 증거를 보존하고, 벤더 케이스를 열고, 재구축/복구 계획을 세우세요.
- 부정적 히트는 행위 및 무결성 기반 검사가 필요하다는 의미일 뿐입니다(행위자는 인프라를 순환하며, 아쿠아쉘은 피해자 간에 해시가 동일하지 않을 수 있기 때문입니다). (Cisco Talos 블로그)
다음은 익스플로잇을 유발하지 않고 실행할 수 있는 '안전한' 검사의 예입니다.
1) 파일 무결성 검사(시작점)
# Talos에서 언급된 웹 UI 파일의 타임스탬프 및 권한 확인
stat /데이터/웹/euq_webui/htdocs/index.py
# 해시하고 알려진 좋은 기준선(있는 경우)과 비교합니다.
sha256sum /데이터/웹/euq_webui/htdocs/index.py
# 백업/설정 스냅샷을 보관하는 경우 버전을 비교합니다.
diff -u /path/to/known-good/index.py /data/web/euq_webui/htdocs/index.py || trueTalos는 이 경로의 이름을 아쿠아쉘이 배치되는 위치로 명시적으로 지정합니다. (Cisco Talos 블로그)
2) 외부 로그의 아웃바운드 IOC 스윕(권장)
# 예: 내보낸 로그에서 알려진 IP 찾기(경로를 원격 분석으로 바꾸기)
grep -RIn --binary-files=without-match \\
-E "172\\.233\\.67\\.176|172\\.237\\.29\\.147|38\\.54\\.56\\.95" \\
/var/log 2>/dev/null | head -n 200위의 IP는 캠페인과 관련하여 탈로스에서 게시한 것입니다. (Cisco Talos 블로그)
3) '비정상적인 게시물' 사냥(최선의 노력, 무리하지 않기)
# 언급된 경로 패턴에 닿는 웹 POST 활동을 검색합니다(로그가 있는 경우).
grep -RIn --binary-files=without-match \\
-E "POST|/euq_webui/|/htdocs/index\\.py" \\
/var/log 2>/dev/null | head -n 200Talos에 따르면 AquaShell의 동작은 인코딩된 명령 콘텐츠를 전달하는 인증되지 않은 HTTP POST 요청에 의존합니다. (Cisco Talos 블로그)
노출 및 우선순위: 현장에서 바로 사용 가능한 의사 결정 표
| 상황 | 침해 가능성 | 우선순위 | 즉각적인 조치 |
|---|---|---|---|
| 스팸 격리 사용 그리고 인터넷 연결 가능 | 매우 높음 | P0 | 지금 노출 제거하기, 공급업체 완화 조치 따르기, IOC 추적하기 |
| 인터넷 연결이 가능한 웹 관리 인터페이스 | 높음 | P0 | 지금 노출 제거, 신뢰할 수 있는 호스트/VPN으로 제한, 로그 보존 |
| 인터넷에 노출되지는 않지만 광범위한 파트너/공급업체 네트워크에서 연결 가능 | Medium | P1 | ACL 범위 축소, 세분화 검증, 이상 징후 탐색 |
| 완전히 내부적이고 엄격하게 제한되며 강력한 관리자 제어 기능 | Lower | P2 | 권고 업데이트 모니터링, 기준 무결성, 제어 강화 |
이 우선 순위는 대중의 합의와 일치합니다. 착취는 주로 다음과 같은 곳에서 관찰되고 있습니다. 스팸 검역이 활성화되어 노출됨 그리고 비표준 구성. (컴퓨터)
아직 패치가 없는 경우의 완화 방법
런제로 요약 기준(2025년 12월 17일 업데이트), 현재 사용 가능한 패치된 고정 버전이 없습니다.를 비활성화하는 것이 좋습니다. 스팸 격리 네트워크 액세스 제어 뒤에 있는 취약한 시스템을 격리합니다. (runZero)
블리핑컴퓨터의 보도에 따르면 Cisco는 관리자에게 액세스 제한(인터넷 액세스 제한, 신뢰할 수 있는 호스트로 제한, 방화벽 뒤에 어플라이언스 배치)과 함께 로그 보관, 메일 처리와 관리 기능 분리, 강력한 인증 방법 사용과 같은 운영 위생에 대해 조언하고 있다고 설명합니다. (컴퓨터)
전략적 목표는 간단합니다: 공격 표면 축소 공격자가 스캔하고 악용할 수 있는 속도보다 더 빠릅니다.
팀이 지금 바로 실행할 수 있는 실용적인 완화 시퀀스입니다:
- 인터넷 노출 제거 를 스팸 검역소 및 모든 관리 영역에 추가합니다.
- 관리 액세스 제한 를 좁은 허용 목록으로 제한합니다(VPN + 바스티온만 해당).
- 역할 분리관리 평면은 메일 처리와 동일한 노출 평면이 아니어야 합니다. (컴퓨터)
- 로그 및 외부 원격 분석 보존 를 회전하기 전에 탈로스 문서 로그 퍼지 도구(AquaPurge)를 사용하므로 로컬 아티팩트가 불완전할 수 있다고 가정하세요. (Cisco Talos 블로그)
- 무결성 검사 실행 를 클릭하고 Talos가 언급한 웹 UI 경로에서 터널 툴링을 찾습니다. (Cisco Talos 블로그)
- 보안 침해 징후가 있는 경우, Cisco TAC 케이스 열기 (Cisco와 커버리지에서는 침해 검증 및 대응을 위해 이 경로를 권장합니다.) (컴퓨터)
재구축 대 '제자리 청소': 어플라이언스의 현실에 솔직해지기
보안 엔지니어들은 '재구축'이라는 단어가 혼란스럽다는 이유로 싫어하지만, 퍼리미터 어플라이언스는 웹 구성 요소에 지속성이 내장되어 있고 로그 무결성이 의심되는 경우 며칠 동안 '청소'를 해도 백도어를 남길 수 있다는 점에서 독특합니다.
공개 보고에 따르면 침해가 확인된 경우 시스코의 입장은 다음과 같습니다, 어플라이언스를 재구축하는 것이 현재 유일한 실행 가능한 옵션입니다. 를 사용하여 지속성 메커니즘을 근절할 수 있습니다. (헬프넷 보안)
"완화됨"과 "근절됨"은 서로 다른 상태로 취급합니다. 완화는 문을 닫습니다. 박멸은 공격자가 아직 내부에 있지 않다는 것을 증명합니다.
AI 기반 보안 워크플로우가 도움이 될 수 있는 분야
여러 지역에 걸쳐 여러 SEG/SEWM 인스턴스가 있는 환경에서 가장 어려운 부분은 완화 자체보다는 어떤 인스턴스가 노출되었는지, 어떤 설정 노브가 변경되었는지, 어떤 로그가 유지되었는지, 아웃바운드 연결이 게시된 IOC와 일치하는지, 최종 보안 상태가 어떤지 등 조정 및 증거 추적에 관한 것입니다.
AI 기반 플랫폼이 마술을 부리는 척하지 않고도 실제로 가치를 창출할 수 있는 곳입니다:
- 일정에 따라 노출 확인("신뢰할 수 없는 네트워크에서 스팸 검역소에 도달할 수 있습니까?") 자동화하기
- 게시된 IOC를 SIEM, 방화벽 로그, 엔드포인트 원격 분석 전반에서 반복 가능한 헌팅으로 변환하기
- CISO와 엔지니어가 모두 신뢰할 수 있는 증거 중심의 인시던트 보고서 생성
이미 보안 자동화를 위해 Penligent를 사용하고 있는 경우, 다음과 같은 사항을 검증하는 반복 가능한 런북을 구축하면 됩니다. 구성 + 도달 가능성 + 원격 측정 확인 IR을 위한 구조화된 증거 팩을 제공합니다. 최상의 결과는 'AI 악용'이 아니라 사각지대를 줄이고 더 빠르고 신뢰도 높은 의사 결정을 내리는 것입니다.
참조
https://nvd.nist.gov/vuln/detail/CVE-2025-20393
https://www.cve.org/CVERecord?id=CVE-2025-20393
https://blog.talosintelligence.com/uat-9686
https://www.runzero.com/blog/cisco-secure-email-gateway
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://cwe.mitre.org/data/definitions/20.html
https://github.com/Fahrj/reverse-ssh
Korean 
English 
German 
French 
Spanish 
Portuguese 
Japanese 
Hindi 
Arabic 
Turkish 
Hebrew