홈으로 돌아가기

2026년 3월 최고 CVE: Cisco와 Langflow의 RCE

2026년 3월 치명적 CVE 개요: Cisco FMC 역직렬화 (CVSS 10), Langflow 및 Chrome zero-day RCE, Trivy 침해. 활성 익스플로잇, KEV CISA, 중급/고급을 위한 완화 단계.

🚨 2026년 3월 치명적 CVE: Cisco RCE부터 Trivy 공격까지
Advertisement 728x90

2026년 3월 치명적 CVE: Cisco 역직렬화부터 Trivy 공급망 공격까지

2026년 3월에 취약점 악용 사례가 폭증하며, 공개 직후 몇 시간 만에 공격자들이 들이닥쳤습니다. AI 플랫폼과 공급망이 주요 타깃이 됐습니다. CVSS 8.7점 이상의 주요 CVE와 실제 공격 사례를 정리했습니다.

Cisco Secure Firewall Management Center 역직렬화 취약점

CVE-2026-20131 (CVSS 10.0 치명적)

Cisco FMC 웹 인터페이스의 결함으로 인증 없이 악성 Java 객체를 역직렬화할 수 있습니다. 모든 버전, Cisco Security Cloud Control 포함에 영향을 미칩니다. Interlock 그룹이 2026년 1월 26일부터 이 제로데이를 악용했으며, CISA가 KEV에 추가해 3월 22일 마감일을 정했습니다.

Google AdInline article slot

공격 방법: 직렬화된 객체가 포함된 POST 요청으로 루트 수준 RCE 유발.

영향:

  • 방화벽 설정 조작.
  • 트래픽 가로채기 및 데이터 탈취.
  • 랜섬웨어 진입로.

대응 방안:

Google AdInline article slot
  • FMC 즉시 패치.
  • 제로 트러스트 뒤에 관리 인터페이스 격리.
  • 역직렬화 페이로드 로그 감사 (AWS IoC 활용).

Langflow 인증 미비 RCE

CVE-2026-33017 (CVSS 9.3 치명적)

시각적 AI 에이전트 플랫폼(깃허브 14.5만 스타)이 /api/v1/build_public_tmp/{flow_id}/flow 엔드포인트에 취약점이 있습니다. JSON 페이로드의 Python 코드가 exec()로 샌드박싱 없이 실행됩니다. 1.8.2 이하 버전 영향. Sysdig이 3월 17일 공지 20시간 만에 공격을 포착했습니다.

공격 방법: 노드 정의에 악성 코드 포함된 단일 POST.

Google AdInline article slot

영향:

  • 프로세스 권한 RCE.
  • 시크릿 탈취 (OpenAI API 키, DB 비밀번호, SSH).
  • 통합 ML 파이프라인 공격.

대응 방안:

  • 1.9.0 이상으로 업그레이드 (JFrog에 따르면 1.8.2 여전히 취약).
  • 모든 환경 시크릿 교체.
  • Langflow에 FW/프록시 인증 추가.
  • /api/v1/ POST 및 아웃바운드 트래픽 모니터링.

Chrome 제로데이: Skia와 V8 취약점

CVE-2026-3909 (CVSS 8.7 높음) — Skia(2D 렌더링) 배열 바깥 쓰기.

CVE-2026-3910 (CVSS 8.7 높음) — V8(JS/WebAssembly) 타입 혼동.

구글이 3월 10일 활성 악용 확인; CISA KEV 마감 3월 27일. 2026년 Chrome 세 번째 제로데이.

공격 방법: 악성 HTML/JS 페이지(워터링 홀 또는 말버타이징).

영향:

  • 렌더러 프로세스 코드 실행: 쿠키 및 세션 탈취.
  • CI/CD 헤드리스 Chrome 위험.
  • 샌드박스 탈출 필요.

대응 방안:

  • Chrome 146.0.7680.75 이상 업데이트.
  • Chromium 기반 브라우저(Edge, Brave) 패치.
  • 헤드리스 인스턴스 재고.
  • 자동 업데이트 활성화.

Aqua Trivy 공급망 침해

CVE-2026-33634 (CVSS 9.4 치명적)

3월 19일 TeamPCP가 개발자 계정을 해킹해 trivy-action GitHub Action에 악성 태그를 강제 푸시했습니다. CI/CD 시크릿(토큰, SSH, 클라우드 자격 증명) 탈취. Docker 이미지와 PyPI LiteLLM 영향.

공격 방법: 액션 실행 시 환경 시크릿 유출.

영향:

  • AWS/GCP/Azure 자격 증명 접근.
  • Docker Hub 악성 Trivy 이미지.
  • LLM 라이브러리 파급 효과.

대응 방안:

  • 3월 19일 이후 CI/CD 실행 감사.
  • 모든 시크릿 교체.
  • Trivy 이미지 검증.
  • GitHub Actions SHA 고정.

Microsoft Patch Tuesday: AI-XSS와 Office RCE

79개 CVE 패치, 8개 치명적. 주요:

CVE-2026-26144 (CVSS 8.7 높음) — Excel Copilot Agent XSS로 은밀한 데이터 유출.

공격 방법: 악성 XLSX로 Copilot 데이터 전송 유발.

CVE-2026-26110/26113 (CVSS 8.6 높음) — Office RCE (잘못된 포인터/타입 혼동).

Nginx UI 등 기타

Nginx UI: 인증 미비 백업 덤프 (RCE 위험).

Grafana: SQL 표현식으로 이어지는 SQLi RCE.

GNU InetUtils telnetd: 버퍼 오버플로.

Android: Qualcomm 제로데이.

주요 요약

  • 기록적 빠른 악용: Langflow 20시간, 공개 PoC 없음.
  • 공급망 공격: Trivy, LiteLLM.
  • AI 타깃 공격: Langflow exec(), Excel Copilot XSS.
  • CISA KEV 우선: Cisco, Chrome—지금 패치.
  • CI/CD 헤드리스 Chrome: 간과된 위험.

— Editorial Team

Advertisement 728x90

다음 읽기