安全研究人员今天披露了有关广泛采用的思科发现协议(CDP)中五个漏洞的详细信息。
物联网网络安全公司Armis识别出的漏洞被统称为CDPwn。
它们会影响CDP,CDP是一种专有的Cisco协议,它允许Cisco设备通过多播消息(在本地网络内部散播)在彼此之间共享信息。
CDP协议已在大多数思科产品中实现,并且自90年代中期以来一直在使用。这不是一个众所周知的协议,因为它没有在Internet上公开,并且仅在本地网络内有效。
CDPWN错误可以接管CISCO设备
Armis在今天发布的一份报告中说,CDP协议受到五个漏洞的影响,其中四个是“远程代码执行”(RCE)问题,攻击者可以利用这些漏洞接管运行CDP协议套件易受攻击的实施的思科设备。第五是拒绝服务(DoS)问题,可用于使设备崩溃。
好消息是,攻击无法通过互联网进行。如上所述,CDP协议仅在数据链路层的本地网络内部起作用,并且不会在设备的WAN接口上公开-大多数Internet攻击都是通过该接口来进行的。
要利用它,攻击者首先需要在局域网内立足。
入口点可以是任何东西,例如IoT设备。黑客可以使用此入口设备在本地网络中广播格式错误的CDP消息并接管Cisco设备。
此处的主要目标是Cisco路由器,交换机和防火墙,它们持有公司整个网络的密钥,并且默认情况下启用了CDP。
CDPwn漏洞-尽管不适用于从Internet远程侵入组织的安全网络-可以用作升级初始访问,接管路由器和交换机等关键点以消除网络分段,然后横向移动的方法在公司网络内部攻击其他设备。
但是CDP也会在其他Cisco产品(例如VoIP电话和IP摄像机)中附带并默认启用。Armis说,CDPwn攻击也可以针对这些设备。
攻击者可以使用CDPwn接管易受攻击的设备,如电话和安全摄像机,安装恶意软件,泄露数据,甚至窃听电话和视频源。
据Armis称,CDPwn会影响所有运行IOS XR操作系统的Cisco路由器,所有Nexus交换机,Cisco Firepower防火墙,Cisco NCS系统,所有Cisco 8000 IP摄像机以及所有Cisco 7800和8800 VOIP电话。
“不幸的是,我们发现的大多数[CDPwn] RCE漏洞都是简单的堆或堆栈溢出漏洞,因此完全有可能被利用,并且我们能够通过我们开发的演示漏洞利用RCE,” Seri。
他补充说:“在某些受影响的设备中,存在某些缓解措施,以防止这些溢出被利用,但不幸的是,这些缓解措施只是部分的,可以被颠覆。”
可用补丁
Armis已于数月前就其发现与思科联系。思科以其功劳来修补所有CDPwn漏洞。
预计该网络巨头将在今天晚些时候在其安全Web门户上发布补丁。CDPwn漏洞的确切列表是:
- 思科FXOS,IOS XR和NX-OS软件思科发现协议拒绝服务漏洞(CVE-2020-3120)
- Cisco NX-OS软件Cisco发现协议远程执行代码漏洞(CVE-2020-3119)
- Cisco IOS XR软件Cisco发现协议格式字符串漏洞(CVE-2020-3118)
- 思科IP电话远程执行和拒绝服务漏洞(CVE-2020-3111)
- 思科视频监控8000系列IP摄像机思科发现协议远程执行和拒绝服务漏洞(CVE-2020-3110)
但是也存在系统管理员无法在补丁可用后立即应用的情况。在这些情况下,还存在一些临时缓解措施。
Seri “如果可能-禁用思科发现协议(CDP)应该可以防止利用这些漏洞。”
对于某些企业用户而言,禁用CDP可能是不可能的,因此,降低漏洞利用风险的下一个最佳方法是获得设备行为的可见性,以监视和识别异常活动。
“但是最好的解决方案始终是尽快修补。”
*编译:Domino
*来自:ZDNET