CISA, 활발히 악용되는 Cisco·Chrome·Arista 취약점 KEV 카탈로그에 추가
출처: The Hacker News
Ravie Lakshmanan2026년 6월 10일 취약점 / 네트워크 보안
미국 사이버보안 및 인프라 보안청(CISA)은 화요일에 활용이 확인된 취약점(KEV) 카탈로그에 세 가지 새로운 취약점을 추가했습니다. 이는 실제 공격 사례가 보고된 뒤의 조치입니다.
추가된 취약점 목록은 다음과 같습니다.
-
CVE-2026-20245 (CVSS 점수: 7.8) – Cisco Catalyst SD‑WAN Manager에서 출력값을 부적절하게 인코딩하거나 이스케이프하지 않아, 인증된 로컬 공격자가 조작된 파일을 제공함으로써 루트 권한으로 임의 명령을 실행할 수 있는 취약점.
-
CVE-2026-11645 (CVSS 점수: 8.8) – Google Chrome V8 엔진의 경계 초과 읽기·쓰기 취약점으로, 원격 공격자가 조작된 HTML 페이지를 통해 샌드박스 내부에서 임의 코드를 실행할 수 있습니다.
-
CVE-2026-7473 (CVSS 점수: 6.9) – Arista Extensible Operating System(EOS)에서 비교 로직이 불완전하게 구현돼 누락된 요소가 존재하는 취약점으로, 비구성 터널 트래픽을 처리하도록 악용될 수 있습니다.
Arista EOS 취약점에 대한 패치 계획 없음
“Arista EOS가 실행 중인 영향을 받는 플랫폼에서 VXLAN(가상 확장 LAN), decap‑groups, GRE(일반 라우팅 캡슐화) 터널 인터페이스 등과 같은 터널 디캡슐레이션 구성이 존재할 경우, 스위치는 디캡슐레이션 IP와 일치하는 목적지 IP를 가진 예상치 못한 터널 패킷을 잘못 디캡슐레이션하고 전달합니다.”라고 Arista는 설명했습니다.
“이는 스위치가 터널 프로토콜 유형을 검증하지 않기 때문에 발생하며, 결과적으로 비구성 터널 트래픽이 의도치 않게 처리될 수 있습니다.”
이 보안 결함은 주로 7020R, 7280R/R2, 7500R/R2 시리즈 제품에 영향을 미칩니다. 다만, 실제 악용이 이루어지려면 해당 장비가 VXLAN VTEP, GRE 터널 엔드포인트 또는 IP 디캡 그룹과 같은 디캡슐레이션 IP를 가진 터널 엔드포인트로 구성돼 있어야 합니다.
Arista는 이 취약점이 “실제 환경에서 악용된 사례가 보고되었다”고 밝히며, Comcast의 Scott Christiansen, Lukas Peitz, Rich Compton, Jonathan Davis에게 책임감 있게 공개해 준 데 대해 감사를 표했습니다.
그럼에도 불구하고 Arista는 CVE‑2026‑7473에 대한 패치를 제공하지 않을 예정이라고 밝혔습니다. 패치를 적용하면 기존 배포 환경의 설정이 깨질 위험이 있기 때문입니다. 대신 회사는 문제를 완화할 수 있는 방안을 제시했습니다.
“이 문제를 완화하는 두 가지 주요 접근법이 있습니다 – (1) 상위 장비에 ACL을 적용하거나 (2) 예기치 않은 디캡슐레이션이 발생하는 장비에 ACL을 적용하는 것입니다.”라고 Arista는 설명했습니다. “두 경우 모두 목표는 정상적인 터널 트래픽만 허용하거나 악의적인 터널 트래픽을 차단하도록 선택적으로 제어하는 것입니다.”
연방 민간 행정기관(FCEB)은 세 가지 취약점이 초래하는 위협에 대응하기 위해 2026년 6월 23일까지 필요한 수정이나 완화 조치를 적용하도록 명령받았습니다.
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우하세요.