포스팅 내용

국내외 보안동향

콜센터를 위협하는 치명적인 Java 결함 발견, 빠른 패치 필요

Cisco: Critical Java flaw strikes 'call center in a box', patch urgently


Cisco는 자사의 콜센터 플랫폼인 Unified CCX(Unified Contact Center Express)를 사용하는 조직에 업데이트를 가능한 한 빨리 설치해야 한다고 경고했습니다.


Cisco는 Unified CCX의 Java 기반 원격 관리 인터페이스 내 치명적인 역직렬화 취약점을 수정하는 업데이트를 공개했습니다. 


원격 공격자가 이를 악용할 경우 크리덴셜 없이도 기기에 악성코드를 설치할 수 있는 것으로 나타났습니다.


Cisco는 Unified CCX를 상담원 최대 400명이 안전하고 쉽게 고객을 지원할 수 있는 통합 커뮤니케이션 솔루션이라고 설명했습니다.


보안 전문가인 Brenden Meeder는 원격 관리 인터페이스로 악성 직렬화 Java 오브젝트를 보내는 방식으로 Unified CCX 시스템이 해킹될 수 있다고 밝혔습니다.


공격자가 이 취약점을 성공적으로 악용할 경우 취약한 기기에서 루트 사용자 권한으로 임의 코드를 실행할 수 있습니다.


Cisco는 상담원 최대 24,000명을 지원하는 더욱 규모가 큰 Cisco Unified Contact Center에는 이 취약점이 존재하지 않는다고 밝혔습니다.


Cisco는 Unified CCX 12.0 및 이하 버전을 사용하는 고객들에 12.0(1)ES03로 마이그레이션하여 이 취약점을 수정할 것을 권고했습니다. Unified CCX 12.5는 취약하지 않습니다.


이 취약점은 CVE-2020-3280으로 등록되었으며 CVSS 치명도 점수 10점 만점에 9.8점을 받았습니다.


Cisco의 보안 사고 대응 팀인 PSIRT는 이 취약점을 악용한 실제 공격은 아직까지 발견되지 않았다고 밝혔습니다.


또한 Cisco는 Cisco Prime Network Registrar의 DHCP 서버에 존재하는 심각도 높은 DoS 취약점을 수정하는 또 다른 업데이트를 공개했습니다.





출처:

https://www.zdnet.com/article/cisco-critical-java-flaw-strikes-call-center-in-a-box-patch-urgently/

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN

티스토리 방명록 작성
name password homepage