2024-09-13 09:35 (금)
구형 시스코 IP 폰에 치명적 제로데이 취약점 발견...업그레이드 필수
상태바
구형 시스코 IP 폰에 치명적 제로데이 취약점 발견...업그레이드 필수
  • 길민권 기자
  • 승인 2024.08.09 17:17
이 기사를 공유합니다

원격 코드 실행(RCE) 허용하며, 공격자가 인증 없이도 루트 권한으로 임의의 명령 실행 가능해

시스코(Cisco)가 자사의 Small Business SPA 300 및 SPA 500 시리즈 IP 전화기에서 다수의 치명적인 제로데이 취약점이 발견되었다고 경고했다. 이 취약점들은 원격 코드 실행(RCE)을 허용하며, 공격자가 인증 없이도 루트 권한으로 임의의 명령을 실행할 수 있게 해 각별히 주의해야 한다. 

이번에 발견된 취약점은 총 다섯 개로, 그 중 세 개는 CVSS v3.1 기준으로 9.8점에 달하는 매우 심각한 버퍼 오버플로우 취약점(CVE-2024-20450, CVE-2024-20452, CVE-2024-20454)이다. 이 취약점들은 공격자가 특수하게 조작된 HTTP 요청을 보내 대상 기기에서 루트 권한으로 명령을 실행할 수 있도록 한다. 나머지 두 개의 고위험 취약점(CVE-2024-20451, CVE-2024-20453)은 HTTP 패킷에 대한 부적절한 검증으로 인해 서비스 거부(DoS) 상태를 유발할 수 있다.

문제는 시스코가 해당 제품들에 대한 소프트웨어 업데이트나 보안 패치를 제공하지 않겠다고 밝혔으며, 이에 따라 사용자들은 즉시 최신 기기로 전환할 것을 권장했다.

SPA 300 시리즈는 2019년 2월에 마지막으로 판매되었고, 2022년 2월에 공식 지원이 종료되었다. SPA 500 시리즈는 2020년 6월에 판매가 중단되었으며, 서비스 계약이나 특별 보증이 있는 사용자에 한해 2025년 5월 31일까지 제한적인 지원을 받는다. 하지만 보안 업데이트는 더 이상 제공되지 않으므로, 이들 기기를 계속 사용할 경우 심각한 보안 위험에 노출될 수 있다.

시스코는 사용자가 시스코 IP 폰 8841 또는 6800 시리즈와 같은 최신 모델로 전환할 것을 강력히 권고했다. 또한, 시스코는 기술 이전 프로그램(TMP)을 통해 사용자가 구형 제품을 반납하고 새로운 장비를 구매할 때 크레딧을 받을 수 있는 옵션도 제공하고 있다.

이번 취약점의 심각성과 더불어 보안 패치가 제공되지 않는 상황을 고려할 때, 해당 IP 전화기를 사용하는 조직은 가능한 한 빨리 시스템 업그레이드를 진행해야 안전할 수 있다. 

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★