CVE-2026-20093 Cisco CIMC 인증 우회

요약

CVE-2026-20093는 Cisco CIMC 관리면에서 비인증 공격자가 Admin 수준 접근을 얻을 수 있는 인증 우회 이슈로 정리된다. 공개 보도에서는 password change 처리의 검증 결함이 핵심으로 다뤄졌다. 서버 OS와 분리된 out-of-band 관리면이라서, 호스트 EDR만으로는 행위가 잘 안 보일 수 있다.

공개 보도일은 2026-04-02다. 2026-04-08 기준 공개 자료만 보면 세부 영향 버전과 후속 일정은 더 좁혀지지 않는다.

영향 범위

영향 범위는 CIMC 관리 인터페이스가 활성화된 자산이다. 공개 자료만으로 특정 모델과 펌웨어 버전을 단정하기는 어렵다. 실제 적용 대상은 벤더 advisory의 fixed software 정보와 장비 인벤토리를 함께 대조해야 한다.

악용 조건은 단순하다.

• 공격자가 CIMC 관리 인터페이스에 네트워크로 접근할 수 있어야 한다.
• pre-auth 상태에서 취약한 password change 흐름에 도달할 수 있어야 한다.
• 관리망 ACL, VPN, 점프호스트 통제가 느슨하면 위험이 커진다.

인터넷 직접 노출이 가장 위험하다. 다만 내부망에서 lateral movement가 가능한 환경도 안전하지 않다.

대응 포인트

단기 대응은 노출면 축소가 핵심이다.

• 인터넷에서 직접 닿는 CIMC를 먼저 차단한다.
• 관리 인터페이스를 전용 관리망이나 VPN 뒤로 이동한다.
• 소스 IP 기반 ACL로 접근 대상을 최소화한다.
• 로컬 Admin 계정 사용 현황과 최근 암호 변경 이력을 점검한다.
• 장비 감사 로그에서 계정 변경, 로그인 성공/실패, 원격 콘솔 사용, 전원 작업을 확인한다.

중기 대응은 자산 분리가 중요하다.

• CMDB에 OOB 관리 자산을 별도로 태깅한다.
• EDR 범위 밖인 관리 컨트롤러 로그 수집 경로를 만든다.
• 서버 OS와 관리 펌웨어를 같은 취약점 관리 항목으로 묶지 않도록 정리한다.

탐지 포인트

네트워크

관리망 외부에서 CIMC 관리 포트로 들어오는 접근을 먼저 본다. 인증 전 요청이 반복되거나, 짧은 시간에 동일 자산을 두드리는 패턴이 있으면 더 주의한다.

title: Suspicious Access to OOB Management Interface
logsource:
  product: firewall
detection:
  selection:
    dst_port:
      - 80
      - 443
    dst_asset_role: oob_management
  filter_admin_path:
    src_zone:
      - admin_network
      - vpn_admin
  condition: selection and not filter_admin_path
fields:
  - src_ip
  - dst_ip
  - dst_port
  - user_agent
level: high

엔드포인트

서버 OS 로그가 조용해 보여도 관리 컨트롤러에서는 흔적이 남을 수 있다. 원격 콘솔, 가상 미디어, 전원 작업 같은 이벤트를 별도로 묶어 본다.

• 로컬 로그인 이벤트만 보고 끝내지 않는다.
• 서버 OS와 별개로 관리면 이벤트를 수집한다.
• 계정 변경 직후의 원격 접속 시도를 같이 본다.

서버

로컬 관리자 계정과 펌웨어 로그를 함께 확인한다. 비정상 암호 변경, 예기치 않은 관리자 생성, 반복 실패 후 성공 패턴이 보이면 우선 조사 대상이다.

• 관리자 계정 변경 이력
• 로그인 성공/실패 시퀀스
• 원격 콘솔 사용 기록
• 전원 제어 및 재부팅 이벤트

참고 자료

• BleepingComputer - Critical Cisco IMC auth bypass gives attackers admin access
• Cisco Security Advisories
• NVD Search - CVE-2026-20093