Cisco는 수명이 다한 Small Business SPA 300과 SPA 500 시리즈 IP 전화기의 웹 기반 관리 인터페이스에서 여러 개의 중요 원격 코드 실행 제로 데이가 발견됐다고 경고했습니다.
공급업체는 이러한 장치에 대한 수정 프로그램을 제공하지 않았고 완화 팁도 공유하지 않았으므로, 해당 제품을 사용하는 사용자는 가능한 한 빨리 새롭고 적극적으로 지원되는 모델로 전환해야 합니다.
취약점 세부 정보
Cisco는 5개의 취약점을 공개했으며, 3개는 심각한 수준(CVSS v3.1 점수: 9.8)으로 평가되었고 2개는 높은 심각도(CVSS v3.1 점수: 7.5)로 분류되었습니다.
심각한 취약점은 CVE-2024-20450, CVE-2024-20452, CVE-2024-20454로 추적되었습니다.
이러한 버퍼 오버플로 취약점을 통해 인증되지 않은 원격 공격자가 특별히 제작된 HTTP 요청을 대상 장치로 전송하여 루트 권한으로 기본 OS에서 임의의 명령을 실행할 수 있습니다.
Cisco는 보안 공지에서 “성공적인 익스플로잇을 통해 공격자는 내부 버퍼를 오버플로하고 루트 권한 수준에서 임의의 명령을 실행할 수 있습니다.”라고 경고했습니다.
두 가지 심각한 결함은 CVE-2024-20451과 CVE-2024-20453입니다. 이는 HTTP 패킷에 대한 부적절한 검사로 인해 발생하며, 이로 인해 악성 패킷이 영향을 받는 장치에서 서비스 거부를 일으킬 수 있습니다.
시스코는 5가지 결함이 모두 SPA 300 및 SPA 500 IP 전화에서 실행되는 모든 소프트웨어 릴리스에 영향을 미치며, 구성에 관계없이 서로 독립적이기 때문에 개별적으로 악용될 수 있다고 밝혔습니다.
지원 종료
Cisco 지원 포털에 따르면, SPA 300은 2019년 2월에 마지막으로 고객에게 판매되었으며 3년 후인 2022년 2월에 지원이 종료되었습니다.
SPA 500의 경우 공급업체는 2020년 6월 1일에 지원이 종료되자 하드웨어 판매를 중단했습니다.
Cisco에서는 서비스 계약 또는 특별 보증 조건 보유자를 대상으로 2025년 5월 31일까지 SPA 500에 대한 보장을 계속 제공하지만, 2024년 2월 29일 이후로는 SPA 300에 대한 보장이 더 이상 제공되지 않습니다.
두 모델 모두 보안 업데이트를 받지 못하므로 사용자는 Cisco IP Phone 8841이나 Cisco 6800 시리즈 모델과 같은 최신 지원 모델로 전환하는 것이 좋습니다.
시스코는 또한 고객이 적격 제품을 반납하고 신규 장비에 사용할 수 있는 크레딧을 받을 수 있는 기술 마이그레이션 프로그램(TMP)도 제공합니다.
해당 옵션에 대해 확신이 서지 않는 경우 Cisco 기술 지원 센터(TAC)에 문의하시기 바랍니다.