⚠️ Cisco 스위치에 심각한 DoS 취약점! DHCPv6 패킷으로 네트워크 먹통 위험 😨

안녕하세요, 여러분! 오늘은 Cisco 장비를 사용하는 기업이라면
반드시 확인하고 조치해야 할 중요한 보안 소식을 전해드릴게요.
특히 스위치와 무선 컨트롤러를 포함한 다양한 네트워크 장비를 사용하는 곳이라면 이번 취약점은 그냥 지나칠 수 없습니다.

Cisco가 최근 발표한 보안 공지에 따르면,
DHCPv6 패킷을 잘못 처리하는 바람에, 인증되지 않은 공격자가 간단한 UDP 패킷 하나로 장비를 강제로 재시작시켜
네트워크를 마비시킬 수 있는 심각한 취약점이 발견되었어요.

---

🧨 어떤 취약점인가요?

이번 취약점은 Cisco 장비의 "Switch Integrated Security Features (SISF)" 컴포넌트에 존재하는 문제예요.
DHCPv6 패킷을 처리할 때 올바른 검증 없이 처리되기 때문에,
공격자가 조작된 패킷을 보내면 장비가 스스로 재부팅되면서 DoS(서비스 거부) 상태에 빠지게 됩니다.

정리하자면:

• 인증 필요 없음 ❌
• 클릭 없이 공격 가능 🔥 (0-click)
• 인접 네트워크에서만 가능하지만 여전히 위협적 ⚡

Cisco는 이 문제를 CVE-2025-32819, CVE-2025-32820, CVE-2025-32821 세 가지로 나누어 추적하고 있어요.
각 취약점은 순차적으로 공격 체인에 활용될 수 있습니다.

---

🧪 공격 방법은 이렇게 간단해요

공격자가 할 수 있는 공격 시나리오를 간단히 요약하면 다음과 같아요:

1. DHCPv6 패킷을 다량으로 보내서 시스템 메모리를 점점 소진시킴
2. 장비는 결국 메모리 부족으로 다운되거나 강제로 재시작됨
3. 그 사이 네트워크는 단절되고, 기업의 서비스는 중단될 수 있음 😱

이는 단순한 DoS 공격이지만, 조직 전체의 네트워크 인프라가 중단될 수 있는 심각한 결과를 초래합니다.

---

🛠️ 어떤 장비가 영향을 받나요?

다음과 같은 장비가 취약한 상태일 수 있어요:

• Cisco IOS Software
• IOS XE Software (WLC 포함)
• NX-OS Software (Nexus 3000, 7000, 9000 시리즈)
• Wireless LAN Controller (WLC) AireOS Software

단, Meraki 제품, Firepower 시리즈, ACI 모드의 Nexus 9000은 영향받지 않는 것으로 확인되었어요.

확인 방법 💡

장비가 취약한지 확인하려면 다음 명령어를 사용하세요:

• IOS, IOS XE: show device-tracking policies 또는 show ipv6 snooping policies
• NX-OS: show ipv6 snooping policies
• WLC AireOS: show ipv6 summary

SISF 관련 설정이 보인다면 해당 기능이 활성화되어 있고, 취약점에 노출되었을 가능성이 있습니다.

---

🔐 대응 방법은 무엇인가요?

이번 취약점은 회피 방법(workaround)이 존재하지 않아요. 😔
따라서 유일한 대응 방법은 패치 적용입니다.

Cisco에서는 다음과 같이 대응을 권고하고 있어요:

• ✅ 최신 소프트웨어 업데이트 적용 (예: AireOS 8.10.196.0 이상)
• ✅ MFA(다중 인증) 활성화
• ✅ WAF(Web Application Firewall) 설정 강화
• ✅ 포트 제한 및 접근 제어 목록(ACL) 구성
• ✅ 의심스러운 로그 및 로그인 이력 확인

또한, Cisco의 소프트웨어 체커 도구를 이용하면 현재 사용 중인 장비가 어떤 보안 업데이트가 필요한지 쉽게 확인할 수 있어요!

---

📉 공격된 사례는 아직 없지만...

다행히도 Cisco PSIRT에 따르면 현재까지 이 취약점이 악용된 공개 사례는 없다고 해요.
하지만 공격은 예고 없이 발생하기 때문에, 선제적 패치와 점검은 필수입니다!