CDPwn漏洞使数百万的思科企业级设备受到攻击

如果您的企业网络中有‎‎思科‎‎设备,您应该立即检查思科专有设备发现协议中新发现的 CDPwn 漏洞,并尽快实施修补程序。‎

由Armis研究人员发现并于去年以负责任的方式向思科披露了五个“ CDPwn”缺陷CVE-2020-3110,CVE-2020-3111,CVE-2020-3118,CVE-2020-3119和CVE-2020-3120,这些缺陷可能被利用来导致拒绝服务或远程执行代码。所有这些缺陷都会影响Cisco发现协议(一种运行在Cisco设备上的第2层协议)。

受影响设备:运行思科 FXOS 软件、思科 IP 摄像机固件、思科 IP 电话固件、思科 NX-OS 软件、Cisco IOS-XR 和 Cisco UCS Fabric的不同型号设备都受到一个或多个漏洞的影响。‎

不受影响设备:运行Cisco IOS和Cisco IOS-XE软件的路由器和交换机,以及Cisco ASA,Cisco Firepower 1000系列和Cisco Firepower 2100系列等防火墙。(尽管CVE-2020-3120影响Firepower 4100系列和Firepower 9300安全设备)。

“众所周知的安全最佳做法是在连接到不受信任网络的所有接口上禁用思科发现协议。每个安全公告都提供了有关如何确定设备中是否启用了思科专用设备发现协议以及如何禁用它的详细信息,”思科发言人指出。

“对于为某些功能而必须运行CDP的那些产品,鼓励客户遵循网络分段的最佳做法,以避免不受信任的设备发送CDP数据包或最终使用可用的软件修补程序升级这些设备。”

不用多说,修复应优先于CDP禁用。

漏洞如何被利用:

‎首先:思科 PSIRT 不知道任何 CDPwn 漏洞的恶意使用。‎
‎此外:这些漏洞不能从 Internet 或从其他广播域/子网进行利用 – 攻击者必须与受影响的设备位于同一广播域或子网中,才能利用这些缺陷。这意味着攻击者必须首先在目标网络中站稳脚跟。‎

CDPwn-exploitation

但是,一旦实现,就可以使用CDP漏洞执行以下操作:

  • 中断网络分段
  • 从IP电话和摄像头等设备中窃取信息,并从中窃听语音和视频数据/呼叫以及视频源
  • 窃取流经公司网络交换机和路由器的敏感公司数据
  • 通过利用MitM攻击来拦截和更改公司交换机上的流量,从而破坏设备通信

“CDP是一种协议,它基于在整个网络中发送的多播以太网数据包。例如,连接到受影响交换机的攻击者只需发送恶意制作的 CDP 数据包,这将触该漏洞并导致远程代码执行。不幸的是,发现的RCE漏洞都很容易被利用,无论是堆栈溢出还是堆溢出,都只采取了最小限度的缓解措施,以防止它们变成功能漏洞,”Armis 研究副总裁 Ben Seri 说。

正如 Armis 指出的,95% 以上的财富 500 强公司使用思科协作解决方案,而大量这些设备最终出现在攻击者认为极其有价值的地方:交易大厅、会议室、CEO 办公室等。

“虽然企业通常会使用网络分段作为将这些设备与网络其他部分隔离的方法,但 CDPwn 可用于突破这些边界,允许未经授权的访问和危害,”他们补充道。