개요
Cisco (https://www.cisco.com) 에서는 공급한 제품의 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 시스템 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
Cisco Small Business RV Series Routers
Cisco Nexus Dashboard Fabric Controller(NDFC)
Cisco Nexus Dashboard Orchestrator(NDO)
Cisco Nexus Dashboard Insights
Cisco Meraki MX Firmware
해결된 취약점
Cisco Small Business RV Series Router Firmware에서 웹 기반 관리 인터페이스는 민감한 정보를으로 인해 게스트에서 관리자로 권한을 승격시키는 취약점 (CVE-2024-20470, CVSS 7.2)
Cisco Nexus Dashboard Fabric Controller(NDFC) 및 Cisco Nexus Dashboard Orchestrator(NDO)에서 기술 지원 파일에 액세스할 수 있는 공격자가 민감한 정보를 볼 수 있는 로깅 기능 취약점(CVE-2024-20490, CVSS 8.6)
Cisco Nexus Dashboard Insights 기술 지원 파일에 액세스할 수 있는 공격자가 민감한 정보를 볼 수 있는 로깅 기능 취약점(CVE-2024-20491, CVSS 8.6)
Cisco Meraki MX 및 Cisco Meraki Z Series Teleworker Gateway 장치의 Cisco AnyConnect VPN 에서 인증되지 않은 원격 공격자가 영향을 받는 장치의 AnyConnect 서비스에서 DoS 조건을 유발할 수 있는 취약점(CVE-2024-20500, CVE-2024-20502, CVSS 7.5)
Cisco Small Business RV042, RV042G, RV320 및 RV325 라우터에서 인증된 관리자 수준의 원격 공격자가 루트 사용자로 임의의 코드를 실행할 수 있는 웹 기반 관리 인터페이스의 취약점(CVE-2024-20518, CVE-2024-20519, CVE-2024-20520, CVE-2024-20521, CVSS 9.1)
취약점 패치
2024년 10월 02일 업데이트를 통해 제품별 취약점 패치가 제공되었습니다. 아래 참고 사이트의 제품별 정보에서 ‘Affected Products’와 ‘Fixed Software’ 내용을 참고하여 패치를 적용하시기 바랍니다.
참고 사이트
[1] Cisco Small Business RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Privilege Escalation and Remote Command Execution Vulnerabilities
[2] Cisco Nexus Dashboard Hosted Services Information Disclosure Vulnerabilities
[3] Cisco Meraki MX and Z Series Teleworker Gateway AnyConnect VPN Denial of Service Vulnerabilities
[4] Cisco Small Business RV042, RV042G, RV320, and RV325 Routers Denial of Service and Remote Code Execution Vulnerabilities