Cisco Webex SSO 인증 위조

CVE-2026-20184는 Cisco Webex Control Hub의 SSO 인증서 검증 결함이다. 인증되지 않은 원격 공격자가 서비스 엔드포인트에 조작된 토큰을 보내면 Webex 서비스 안의 다른 사용자로 가장할 수 있었다. Cisco는 2026-04-15에 공지를 냈고, SSO trust anchors를 쓰는 조직은 2026-04-30 전에 새 ce...

2026-04-21 # cve

요약

CVE-2026-20184는 Cisco Webex Control Hub의 SSO 인증서 검증 결함이다. 인증되지 않은 원격 공격자가 서비스 엔드포인트에 조작된 토큰을 보내면 Webex 서비스 안의 다른 사용자로 가장할 수 있었다. Cisco는 2026-04-15에 공지를 냈고, SSO trust anchors를 쓰는 조직은 2026-04-30 전에 새 certificate template을 반영해야 한다.

항목	내용
CVE	CVE-2026-20184
취약점 유형	CWE-295, 부적절한 인증서 검증
악용 조건	인증되지 않은 원격 공격자가 서비스 엔드포인트에 조작된 토큰을 전송
직접 영향	Webex 서비스 내 임의 사용자 가장, 무단 접근
영향 대상	Control Hub SSO 연동에서 trust anchors를 사용하는 Cisco Webex 서비스
공개일	2026-04-15
완화책	공식적인 임시 우회책은 없고, 서비스 측 조치와 인증서 갱신 절차가 안내됐다
심각도	CVSS 3.1 Base 9.8 Critical

기술 분석

SSO 경로의 핵심은 Control Hub가 IdP 인증서를 어떻게 검증하느냐다. 이 결함은 검증 단계가 무너지면서 외부에서 들어온 조작된 토큰이 정상 SSO 응답처럼 처리되는 흐름에 가깝다. 공개 자료에서 확인되는 범위는 신원 경계 통과와 인증서 교체 일정까지다.

Warning

2026-04-30 이전에 새 certificate template을 반영하지 못하면 SSO 로그인 경로가 중단될 수 있다.

네트워크 경로

Webex의 SSO 흐름은 Control Hub와 IdP 사이에서 동작한다.
인증서 교체 직후에는 새 사용자 로그인이 잠시 실패할 수 있지만, 기존 로그인은 유지된다.
SAML Cisco SP 인증서 갱신이 늦으면 Webex App, Control Hub 서비스, Meetings 사이트, Jabber의 로그인 경로에 영향이 생길 수 있다.

운영 확인 지점

Control Hub > Management > Security > Authentication
  → Identity provider
  → certificate status / expiry date 확인
  → Upload IdP metadata
  → Test SSO Update 실행
  → 개인 브라우징 창에서 실제 로그인 재검증

개인 브라우징 창을 쓰는 이유는 캐시로 인한 오탐을 줄이기 위해서다.
IdP가 단일 인증서만 지원하면 점검 시간을 따로 잡아야 한다. 갱신 중 새 사용자 로그인이 잠시 끊길 수 있다.

서버 측 조치

Cisco는 SSO trust anchors를 2026-04-30에 제거한다고 안내했다.
그 전에 새 certificate template을 Control Hub에 반영하지 못하면 Webex 로그인 경로가 막힌다.
Cisco PSIRT는 현재까지 공개된 악용 사례를 확인하지 못했다고 밝혔다.

대응 포인트

SSO trust anchors를 사용하는 조직인지 먼저 확인한다.
Control Hub의 Identity provider 탭에서 IdP 인증서 상태와 만료일을 본다.
IdP 메타데이터 업로드 뒤 Test SSO Update로 검증한다.
실제 로그인은 개인 브라우징 창에서 다시 확인한다.
IdP가 단일 인증서만 지원하면 점검 창을 따로 잡는다.
SSO IDP Certificate expiry와 SSO SP Certificate expiry 알림 규칙을 켠다.
갱신이 막히면 SSO self recovery로 SSO를 잠시 끄고 Control Hub 접근을 복구한다.