개요
Cisco (https://www.cisco.com) 에서는 공급한 제품의 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 시스템 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
Cisco Adaptive Security Appliance (ASA) Software
Cisco Firepower Management Center
Cisco Firepower Threat Defense Software
Cisco Secure Client
해결된 취약점
Cisco Adaptive Security Appliance (ASA) Software에서 데이터 검증이 미흡하여 공격자의 명령 실행이 가능한 취약점 (CVE-2024-20329, CVSS 9.9) [1]
Cisco Firepower Management Center에서 입력값 검증이 미흡하여 임의 명령 실행이 가능한 취약점 (CVE-2024-20424, CVSS 9.9) [2]
Cisco Firepower Threat Defense Software에서 영향을 받는 시스템에 하드코딩된 암호가 있는 정적 계정이 존재하는 경우으로 인해 영향을 받는 시스템에 액세스하고 중요한 정보를 검색하는 취약점 (CVE-2024-20412, CVSS 9.3) [3]
Cisco Firepower Threat Defense Software,Cisco Adaptive Security Appliance (ASA) Software에서 입력값 검증이 미흡하여 서비스 거부가 가능한 취약점 (CVE-2024-20426, CVSS 8.6) [4]
Cisco Adaptive Security Appliance (ASA) Software,Cisco Firepower Threat Defense Software에서 가상 플랫폼에서 새로 들어오는 SSL/TLS 연결에 대한 적절한 메모리 관리 부족으로 인해 시스템 메모리를 고갈시키는 취약점 (CVE-2024-20260, CVSS 8.6) [5]
Cisco Adaptive Security Appliance (ASA) Software,Cisco Firepower Threat Defense Software에서 TLS 세션이 설정된 후 클라이언트 키 데이터의 부적절한 검증으로 인해 서비스 거부가 가능한 취약점 (CVE-2024-20495, CVSS 8.6) [6]
Cisco Firepower Threat Defense Software에서 데이터 검증이 미흡하여 Cisco FTD 장치가 네트워크 트래픽을 끊게 하는 취약점 (CVE-2024-20351, CVSS 8.6) [7]
Cisco Firepower Threat Defense Software,Cisco Adaptive Security Appliance (ASA) Software에서 특정 로직 처리가 미흡하여 서비스 거부가 가능한 취약점 (CVE-2024-20402, CVSS 8.6) [8]
Cisco Firepower Threat Defense Software,Cisco Adaptive Security Appliance (ASA) Software에서 TLS 1.3 핸드셰이크 중 부적절한 데이터 검증으로 인해 서비스 거부가 가능한 취약점 (CVE-2024-20494, CVSS 8.6) [9]
Cisco Adaptive Security Appliance (ASA) Software,Cisco Firepower Threat Defense Software에서 TLS 트래픽이 처리될 때 발생하는 문제으로 인해 서비스 거부가 가능한 취약점 (CVE-2024-20339, CVSS 8.6) [10]
Cisco Firepower Threat Defense Software에서 메모리 관리가 미흡하여 snort 탐지 엔진을 반복적으로 재시작하는 취약점 (CVE-2024-20330, CVSS 8.6) [11]
Cisco Firepower Threat Defense Software,Cisco Adaptive Security Appliance (ASA) Software에서 입력값 검증이 미흡하여 영향을 받는 장치가 다시 로드되도록 하는 취약점 (CVE-2024-20268, CVSS 7.7) [12]
Cisco Firepower Threat Defense Software,Cisco Adaptive Security Appliance (ASA) Software에서 HTTPS POST 요청에서 데이터의 부적절한 검증으로 인해 서비스 거부가 가능한 취약점 (CVE-2024-20408, CVSS 7.7) [13]
Cisco Firepower Threat Defense Software,Cisco Adaptive Security Appliance (ASA) Software에서 인증 프로세스에 엔트로피가으로 인해 사용자가 인증 프로세스를 다시 시작하도록 강제하는 취약점 (CVE-2024-20331, CVSS 6.8) [14]
Cisco Firepower Management Center에서 사용자 입력값 검증이 미흡하여 영향을 받는 장치의 데이터베이스 내용을 읽고 기본 운영 체제에 대한 제한된 읽기 액세스 권한도 얻는 취약점 (CVE-2024-20340, CVSS 6.5) [15]
Cisco Firepower Management Center에서 데이터 검증이 미흡하여 구성의 특정 부분을 수정하는 취약점 (CVE-2024-20482, CVSS 6.5) [16]
Cisco Firepower Management Center에서 웹 기반 관리 인터페이스는 사용자 입력을 적절히 검증하지으로 인해 데이터베이스에서 허가되지 않은 데이터를 얻고 시스템을 변경하는 취약점 (CVE-2024-20471외 2개, CVSS 6.5) [17]
Cisco Firepower Management Center에서 웹기반 관리 기능의 사용자 입력값 검증이 미흡하여 영향을 받는 장치의 기본 운영 체제에서 임의의 파일을 읽는 취약점 (CVE-2024-20379, CVSS 6.5) [18]
Cisco Firepower Threat Defense Software,Cisco Adaptive Security Appliance (ASA) Software에서 사용자 입력값 검증이 미흡하여 웹 서비스 페이지의 컨텍스트에서 브라우저에서 임의의 HTML 또는 스크립트 코드를 실행하는 취약점 (CVE-2024-20341외 1개, CVSS 6.1) [19]
Cisco Firepower Management Center에서 사용자 입력값 검증이 미흡하여 임의 스크립트 명령 실행이 가능한 취약점 (CVE-2024-20273외 11개, CVSS 6.1) [20]
Cisco Firepower Management Center에서 데이터 검증이 미흡하여 영향을 받는 장치에서 임의의 운영 체제 명령을 실행하는 취약점 (CVE-2024-20275, CVSS 6.1) [21]
Cisco Firepower Threat Defense Software,Cisco Adaptive Security Appliance (ASA) Software에서 시스템 플래시 메모리에서 특정 파일을 읽을 때 해당 파일의 부적절한 검증으로 인해 임의 코드 실행이 가능한 취약점 (CVE-2024-20485, CVSS 6.0) [22]
Cisco Adaptive Security Appliance (ASA) Software,Cisco Firepower Threat Defense Software에서 특정 시스템 구성 및 실행 파일에는 안전하지 않은 저장 및 권한이으로 인해 장치에서 루트 액세스를 얻는 취약점 (CVE-2024-20370, CVSS 6.0) [23]
Cisco Firepower Threat Defense Software,Cisco Adaptive Security Appliance (ASA) Software에서 자원 고갈으로 인해 자원을 고갈시키는 취약성 가능한 취약점 (CVE-2024-20481, CVSS 5.8) [24]
Cisco Firepower Threat Defense Software,Cisco Adaptive Security Appliance (ASA) Software에서 특정 로직 처리가 미흡하여 구성된 ACL 규칙을 우회하는 취약점 (CVE-2024-20299외 1개, CVSS 5.8) [25]
Cisco Firepower Threat Defense Software에서 특정 로직 처리가 미흡하여 영향을 받는 장치가 보호하는 네트워크에 의도치 않은 트래픽이 유입되는 취약점 (CVE-2024-20407, CVSS 5.8) [26]
Cisco Firepower Threat Defense Software에서 지리적 위치 데이터의 부적절한 할당으로 인해 지리적 위치 기반 액세스 제어 정책을 우회하고 보호된 장치로 트래픽을 성공적으로 전송하는 취약점 (CVE-2024-20431, CVSS 5.8) [27]
Cisco Firepower Management Center에서 사용자가 제공한 데이터의 부적절한 검증으로 인해 장치에서 생성된 문서의 표준 레이아웃을 변경하는 취약점 (CVE-2024-20274, CVSS 5.5) [28]
Cisco Adaptive Security Appliance (ASA) Software에서 특정 로직 처리가 미흡하여 영향을 받는 장치에서 사용 가능한 ssh 리소스를 소진시켜 장치에 대한 새로운 ssh 연결이 거부되는 취약점 (CVE-2024-20526, CVSS 5.3) [29]
Cisco Adaptive Security Appliance (ASA) Software,Cisco Firepower Threat Defense Software에서 인증 프로세스 동안 메모리 리소스의 비효율적인 처리으로 인해 원격 액세스 ssl vpn 사용자에 대한 인증을 몇 분 동안 거부하는 취약점 (CVE-2024-20493, CVSS 5.3) [30]
Cisco Secure Client에서 정수 언더플로 조건으로 인해 Cisco 보안 클라이언트 소프트웨어가 충돌하는 원인이 되는 취약점 (CVE-2024-20474, CVSS 4.3) [31]
취약점 패치
2024년 10월 23일 업데이트를 통해 제품별 취약점 패치가 제공되었습니다. 아래 참고 사이트의 제품별 정보에서 ‘Affected Products’와 ‘Fixed Software’ 내용을 참고하여 패치를 적용하시기 바랍니다.
참고 사이트
[1] Cisco Adaptive Security Appliance Software SSH Remote Command Injection Vulnerability
[2] Cisco Secure Firewall Management Center Software Command Injection Vulnerability
[3] Cisco Firepower Threat Defense Software for Firepower 1000, 2100, 3100, and 4200 Series Static Credential Vulnerability
[4] Cisco Adaptive Security Appliance and Firepower Threat Defense Software IKEv2 VPN Denial of Service Vulnerability
[5] Cisco Adaptive Security Virtual Appliance and Secure Firewall Threat Defense Virtual SSL VPN Denial of Service Vulnerability
[6] Cisco Adaptive Security Appliance and Firepower Threat Defense Software Remote Access VPN Denial of Service Vulnerability
[7] Cisco Firepower Threat Defense Software and Cisco FirePOWER Services TCP/IP Traffic with Snort 2 and Snort 3 Denial of Service Vulnerability
[8] Cisco Adaptive Security Appliance and Firepower Threat Defense Software SSL VPN Memory Management Denial of Service Vulnerability
[9] Cisco Adaptive Security Appliance and Firepower Threat Defense Software TLS Denial of Service Vulnerability
[10] Cisco Firepower Threat Defense Software for Firepower 2100 Series TLS Denial of Service Vulnerability
[11] Cisco Firepower Threat Defense Software for Cisco Firepower 2100 Series Appliances TCP UDP Snort 2 and Snort 3 Denial of Service Vulnerability
[12] Cisco Adaptive Security Appliance and Firepower Threat Defense Software SNMP Denial of Service Vulnerability
[13] Cisco Adaptive Security Appliance and Firepower Threat Defense Software Dynamic Access Policies Denial of Service Vulnerability
[14] Cisco Adaptive Security Appliance and Firepower Threat Defense Software Remote Access SSL VPN Authentication Targeted Denial of Service Vulnerability
[15] Cisco Secure Firewall Management Center Software SQL Injection Vulnerability
[16] Cisco Secure Firewall Management Center Privilege Escalation Vulnerability
[17] Cisco Secure Firewall Management Center Software SQL Injection Vulnerabilities
[18] Cisco Secure Firewall Management Center Software Arbitrary File Read Vulnerability
[19] Cisco Adaptive Security Appliance and Firepower Threat Defense Software VPN Web Client Services Cross-Site Scripting Vulnerabilities
[20] Cisco Secure Firewall Management Center Software Cross-Site Scripting Vulnerabilities
[21] Cisco Secure Firewall Management Center Software Cluster Backup Command Injection Vulnerability
[22] Cisco Adaptive Security Appliance and Firepower Threat Defense Software Persistent Local Code Execution Vulnerability
[23] Cisco Adaptive Security Appliance and Firepower Threat Defense Software FXOS CLI Root Privilege Escalation Vulnerability
[24] Cisco Adaptive Security Appliance and Firepower Threat Defense Software Remote Access VPN Brute Force Denial of Service Vulnerability
[25] Cisco Adaptive Security Appliance and Firepower Threat Defense Software AnyConnect Access Control List Bypass Vulnerabilities
[26] Cisco Firepower Threat Defense Software TCP Snort 3 Detection Engine Bypass Vulnerability
[27] Cisco Firepower Threat Defense Software Geolocation ACL Bypass Vulnerability
[28] Cisco Secure Firewall Management Center Software HTML Injection Vulnerability
[29] Cisco Adaptive Security Appliance Software SSH Server Resource Denial of Service Vulnerability
[30] Cisco Adaptive Security Appliance and Firepower Threat Defense Software Remote Access SSL VPN Authentication Targeted Denial of Service Vulnerability
[31] Cisco Secure Client Software Denial of Service Vulnerability