2025년 9월 25일 Cisco는 Cisco ASA 제로데이 (Adaptive Security Appliance) 취약점 두 개를 발견하여 실제 공격에 악용되고 있음을 경고하였다. 이번 글에서는 취약점 CVE-2025-20333 · CVE-2025-20362의 위협과 영향을 알아보고 이에 대한 보안 대응 방안을 다룬다.
Cisco ASA 제로데이 취약점(CVE-2025-20333 · CVE-2025-20362) 개요
Cisco ASA 제로데이 취약점 중 하나인 CVE-2025-20333은 인증된 원격 공격자가 취약한 ASA 및 Cisco Secure Firewall Threat Defense 소프트웨어를 실행하는 장치에서 임의 코드를 실행할 수 있도록 한다. 이 취약점은 VPN 웹 서버에서 HTTP(S) 요청에 대한 사용자 입력 유효성 검사가 부적절하여 발생하며 성공적으로 악용될 경우 공격자는 시스템을 루트 권한으로 완전히 장악할 수 있다. 다른 하나인 CVE-2025-20362는 원격 공격자가 인증 없이 제한된 URL 엔드포인트에 접근할 수 있게 하는 인증 우회 취약점이다. 이 두가지 취약점이 결합되어 사용될 경우, 기업 네트워크에 치명적인 결과를 초래할 수 있다.
Criminal IP 기반 위협 헌팅: Cisco Secure Firewall Threat Defense (FTD) 노출 자산 위협 헌팅 결과
위협 인텔리전스 검색엔진 Criminal IP에서 “/+CSCOE+/logon.html” 쿼리를 통해 공개 인터넷에 노출된 Cisco Secure Firewall Threat Defense 자산을 분석할 수 있다.
Criminal IP Search Query: “/+CSCOE+/logon.html”
Criminal IP에서 “/+CSCOE+/logon.html” 쿼리를 통해 노출된 Cisco Secure Firewall Threat Defense 자산을 검색한 결과, 총 91,139건이 확인되었다. 이는 전 세계적으로 약 9만여 개의 장치가 외부 인터넷에 노출되었음을 의미하며 이는 패치가 적용이 되어 있지 않을 경우 현재 진행 중인 Cisco ASA 제로데이 취약점 기반 공격의 직접적 표적이 될 수 있다.
또한 Criminal IP의 Element Analysis를 활용하면 외부에 노출된 Cisco Secure Firewall Threat Defense (FTD) 자산의 국가 상세 통계를 확인할 수 있다.
총 80개 이상 국가의 노출 자산이 발견되었으며, 미국이 30,570개로 가장 많이 노출되었다. 그 다음으로 독일이 5,888개, 영국이 5,054개로 뒤를 이었다.
제로데이 취약점에 노출된 Cisco Secure Firewall Threat Defense 자산 상세 분석
Criminal IP 검색엔진을 통해 확인된 노출 자산 중 아래의 특정 IP 주소 Report 페이지를 보면 해당 IP 주소의 열린 포트, 취약점 여부 등 상세한 정보를 확인할 수 있다.
위 이미지는 Cisco 제로데이 취약점의 영향을 받을 수 있는 자산 검색 결과 중 하나로 22, 443, 8443 포트가 오픈되어 있었으며 3개의 취약점이 존재하는 것으로 확인된다. 또한 리포트 속 IP 스코어링 상단의 태그를 통해 SSL VPN 장치임을 명확히 알 수 있는데, SSL VPN의 경우 CVE-2025-20333 취약점의 주요 공격 경로로 활용될 수 있다.
이는 원격 접근 VPN 기능이 활성화되어 외부로 노출되었음을 의미하며 공격자에게 인증 우회 및 시스템 제어권을 탈취할 수 있는 직접적인 방법을 제공하는 것이다.
이처럼 위협에 노출된 자산들은 실시간으로 공격자들의 타겟이 될 수 있다. 이에 대응하여 위협 헌팅 검색엔진을 적극적으로 활용하고 아래의 가이드에 따라 선제적 조치를 취하는 것이 중요하다.
CVE-2025-20333 · CVE-2025-20362 악용 예방 및 대응 가이드
이번 Cisco 제로데이 취약점은 최고 수준의 위험을 내포하고 있기에 다음과 같은 보안 대응 전략을 즉시 실행해야 한다.
- 공식 보안 패치 긴급 적용: Cisco가 발표한 Fixed Software로 즉시 업데이트 및 패치 적용
- 취약 구성 요소 확인 및 제어: AnyConnect IKEv2 Remote Access, SSL VPN, Mobile User Security 등 VPN 웹 서버 관련 기능 불필요시 비활성화
- 위협 탐지 기능 활성화: Criminal IP ASM(Attack Surface Management)와 같은 선제적 탐지 도구 활용 및 상시 모니터링
- 외부 노출 여부 탐지: Criminal IP Threat Intelligence 솔루션을 활용하여 핵심 방화벽 시스템의 외부 노출 여부 지속적 탐지
FAQ
Q1 이번 Cisco 제로데이 취약점은 어떤 문제가 있나요?
이번에 공개된 취약점은 CVE-2025-20333 (원격 코드 실행) 과 CVE-2025-20362 (인증 우회) 두 가지이다. 이 취약점들이 악용된다면 공격자는 인증된 접근 권한을 이용해 취약한 방화벽 장치에서 임의 코드를 실행하고 시스템 전체 제어권을 획득할 수 있다. 이는 곧 네트워크 경계의 붕괴로 이어져 내부망 침투와 데이터 유출을 유발할 수 있는 치명적인 문제이다.
Q2 이 취약점들을 어떻게 대응해야 하나요?
가장 중요한 조치는 Cisco가 발표한 Fixed Software로 즉시 업데이트하는 것이다. 또한 Criminal IP와 같은 위협 헌팅 도구를 활용하여 외부에 노출된 자산이 없는지 정기적으로 모니터링하고 불필요한 VPN 관련 기능은 비활성화하는 것을 추천한다.
Q3 Criminal IP를 통해 어떻게 노출된 자산을 확인할 수 있나요?
위협 인텔리전스 검색엔진 Criminal IP에서 “/+CSCOE+/logon.html” 쿼리를 사용하여 Cisco Secure Firewall Threat Defense의 로그인 포털이 포함된 웹 자산을 검색할 수 있다. 이를 통해 외부에 노출되어 잠재적 공격 대상이 될 수 있는 시스템의 수를 파악하고 선제적인 조치를 취할 수 있다.
결론
이번 Cisco Cisco Adaptive Security Appliances (ASA)/Cisco Secure Firewall Threat Defense (FTD) 제로데이 취약점은 기업의 핵심 인프라를 직접적으로 위협하며 현실에서의 악용 가능성과 실제 사례들이 보고된 만큼 즉각적인 패치와 선제적 방어로 대응하는 것이 중요하다. Cisco 방화벽 기반 시스템을 운영하는 모든 조직은 즉시 패치를 완료하고 Criminal IP와 같은 TI/ASM 솔루션을 적극 활용하여 공격자보다 앞서 위협을 식별하고 방어해야 한다.
관련하여 Next.js 미들웨어 인증 우회 취약점 공개: 52만 개 이상 웹 자산이 위험에 노출 글을 참고할 수 있다.
데이터 출처: Criminal IP (https://www.criminalip.io/ko), BleepingComputer (Cisco warns of ASA firewall zero-days exploited in attacks) Cisco – (Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability)