Kant's IT/Vulnerability
Cisco AnyConnect VPN DoS 취약점(CVE-2025-20212) 분석 및 대응 방안
Kant Jo
2025. 5. 12. 21:00
Cisco AnyConnect VPN Server Vulnerability Allows Attackers to Trigger DoS
Cisco AnyConnect VPN Server Vulnerability Allows Attackers to Trigger DoS
Cisco has a vulnerability in its AnyConnect VPN Server for Meraki MX and Z Series devices, allowing attackers to trigger DoS conditions.
gbhackers.com
- 취약점 개요
- Cisco는 Meraki MX 및 Z 시리즈 장비의 AnyConnect VPN 서버에서 서비스 거부(DoS) 조건을 유발할 수 있는 CVE-2025-20212 취약점을 공개
- 이 취약점은 SSL VPN 세션 설정 중 초기화되지 않은 변수(CWE-457)에 의해 발생하며, 유효한 VPN 자격 증명을 가진 공격자가 악용 가능
- 취약점 상세 분석
- 공격 조건
- VPN 사용자 인증이 완료된 상태에서 악성 속성 값을 전달
- 세션 설정 과정에서 VPN 서비스가 강제로 재시작되며 기존 세션이 중단됨
- 공격 영향
- 공격 지속 시 신규 세션 생성 불가
- 악성 트래픽이 중단되면 VPN 서비스는 자동으로 복구됨
- 공격 벡터
- AV:N/AC:L/A:H/C:N/I:N (네트워크 기반, 낮은 복잡도, 가용성에 큰 영향)
- 공격 조건
- 영향 받는 장비 목록
- MX 시리즈: MX64/64W, MX65/65W, MX67(C/W), MX68(W/CW), MX75, MX84, MX85, MX95, MX100, MX105, MX250, MX400, MX450, MX600, vMX
- Z 시리즈: Z3/C, Z4/C
- 보안 권고
- AnyConnect VPN 설정 상태 점검
- Dashboard > Security & SD-WAN (MX) 또는 Teleworker Gateway (Z Series) > Client VPN > AnyConnect Settings에서 확인
- 비활성화된 설정은 취약하지 않음
- 펌웨어 업데이트 필수
- 18.1 브랜치: 18.107.12 이상
- 18.2 브랜치: 18.211.4 이상
- 19.1 브랜치: 19.1.4 이상
- MX400/MX600 모델은 교체 또는 네트워크 격리 필요
- 시스템 모니터링 강화
- VPN 세션 반복 재연결, 비정상적인 서비스 재시작 로그 등 주의 깊게 관찰
- 기타
- 해당 취약점은 우회 방법(workaround)이 존재하지 않으며, 반드시 고정 버전 펌웨어로 업그레이드해야만 해결 가능
- AnyConnect VPN 설정 상태 점검
- 결론
- CVE-2025-20212는 비교적 단순한 공격 조건으로 심각한 서비스 마비를 유발할 수 있는 고위험 취약점
- AnyConnect 기반 환경을 사용하는 조직은 본 취약점에 대한 신속한 점검 및 펌웨어 업데이트 조치를 수행해야 함
- 보안팀은 세션 로그 이상 징후를 지속적으로 모니터링하고, VPN 관련 보안 정책을 재정비하여 추가 피해를 방지해야 함