思科CDPwn漏洞威胁数以千万计的企业设备

安全研究人员今天披露了被广泛采用的思科发现协议(CDP)中五个漏洞的详细信息。

物联网网络安全公司Armis发现的这些漏洞被统称为CDPwn

CDP是一种专有的Cisco协议,它允许Cisco设备通过多播消息(在本地网络内部散播)共享信息。

大多数思科产品都部署了CDP协议,并且该协议自90年代中期以来一直在使用。人们对这个协议并不熟悉,因为它没有暴露在互联网上,仅在本地网络内有效。

CDPwn漏洞可以接管CISCO设备

Armis在今天发布的报告中指出,CDP协议受到五个漏洞的影响,其中四个是“远程代码执行”(RCE)问题,攻击者可以利用这些漏洞接管运行CDP协议的思科设备。第五个是拒绝服务(DoS),可导致设备崩溃。

好消息是,攻击无法通过互联网进行。如上所述,CDP协议仅在数据链路层的本地网络内部起作用,并且不会在设备的WAN接口上公开-大多数互联网攻击都是通过该接口来进行的。

要利用这些漏洞,攻击者首先需要在局域网内立足,入口点可以是任何东西,例如IoT设备。黑客可以使用此入口设备在本地网络中广播格式错误的CDP消息并接管Cisco设备。

攻击的主要目标是Cisco路由器,交换机和防火墙,这些设备保存了整个企业网络的密钥,并且默认情况下启用了CDP。

简单来说,攻击者虽然不能通过互联网远程入侵直接利用CDPwn漏洞,但是可以与其他攻击手法组合,升级初始访问,接管路由器和交换机等关键点以关闭网络分段,然后横向移动攻击公司网络内部的其他设备。

由于CDP在其他Cisco产品(例如VoIP电话和IP摄像机)中内建并默认启用,因此CDPwn攻击也可以针对这些设备。

攻击者可以使用CDPwn接管易受攻击的设备,如电话和安全摄像机,安装恶意软件,泄露数据,甚至窃听电话和视频源。

据Armis称,CDPwn会影响所有运行IOS XR操作系统的Cisco路由器,所有Nexus交换机,Cisco Firepower防火墙,Cisco NCS系统,所有Cisco 8000 IP摄像机以及所有Cisco 7800和8800 VOIP电话。

“不幸的是,我们发现的大多数(CDPwn) RCE漏洞都是简单的堆栈溢出漏洞,因此完全有可能被利用,并且我们已经开发出了RCE漏洞利用演示。” Armis发言人Seri说道。

他补充说:“对于部分受影响的设备,有现成的缓解措施,以防止这些溢出被利用,但不幸的是,这些缓解措施并不完善,不能百分百保证安全。”

可用的补丁

Armis已于数月前就其漏洞发现与思科联系,而思科也反应迅速,开发出了所有CDPwn漏洞的补丁。并将在今天晚些时候在其安全Web门户上发布补丁。CDPwn漏洞的确切列表是:

思科FXOS,IOS XR和NX-OS软件思科发现协议拒绝服务漏洞(CVE-2020-3120

Cisco NX-OS软件Cisco发现协议远程执行代码漏洞(CVE-2020-3119

Cisco IOS XR软件Cisco发现协议格式字符串漏洞(CVE-2020-3118)

思科IP电话远程执行和拒绝服务漏洞(CVE-2020-3111)

思科视频监控8000系列IP摄像机思科发现协议远程执行和拒绝服务漏洞(CVE-2020-3110)

如果系统管理员在更新补丁后无法立级应用,可还可以考虑其他一些临时缓解措施。

Seri指出: “如果可能,禁用思科发现协议(CDP)应该可以防止利用这些漏洞。”

Seri补充说:“对于某些企业用户而言,禁用CDP可能是不可能的,因此,降低漏洞利用风险的下一个最佳方法是获得设备行为的可见性,以监视和识别异常活动。”

“但是最好的解决方案始终是尽快打补丁。”

 

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:
标签: ,


关于作者

最牛的信息安全新媒体 (www.aqniu.com)