发布时间:2020-02-09 22:14:26,来源:中国信息通信研究院
思科发现协议(CDP)的多种设备中发现了五个危急的零日漏洞,CVE编号:CVE-2020-3110、CVE-2020-3111、CVE-2020-3118、CVE-2020-3119、CVE-2020-3120。
思科发现协议(CDP)的漏洞使远程攻击者无需任何用户干预就可以全面接管设备。CDP是思科的一种专有第2层(数据链路层)网络协议,用于发现有关本地连接的思科设备的信息。CDP实施在几乎所有的思科产品中,包括交换机、路由器、IP电话机和摄像头。所有这些设备出厂交付时都默认启用了CDP。
CDP的常见用途是管理IP电话机。比如说,CDP让交换机可以为语音分配一个VLAN,为以菊花链方式连接到电话机的任何PC分配另一个VLAN。关于这些独立VLAN的信息则通过CDP传递到IP电话机。此外,这些设备中许多通过以太网供电(PoE)获得电力。通过CDP数据库,交换机可以协商为连接到交换机的某个设备分配多少电力。
这个名为CDPwn的骇人发现披露了可能使攻击者完全控制所有这些设备的几个漏洞。这五个漏洞中的四个是远程代码执行(RCE)漏洞,另一个是拒绝服务(DoS)漏洞。利用RCE漏洞可能会导致:
1)破坏网络分段。
2)通过企业组织的交换机和路由器传输的企业网络流量泄露数据。
3)通过拦截和篡改公司交换机上的流量,利用中间人攻击来访问其他设备。
4)敏感信息泄露数据,比如来自IP电话机等设备的通话和来自IP摄像头的视频内容。
这项研究的发现意义重大,因为第2层协议是所有网络的基础。作为一条攻击途径,第2层协议是一个未充分研究的领域,却又是网络分段这种做法的基础。网络分段机制被用来改善网络性能,并提供安全。遗憾的是,正如本研究表明的那样,网络基础设施本身面临风险,任何攻击者都可以钻空子,因此网络分段不再是一种有保障的安全策略。
如果你深入分析现代企业,会看到大量的不同设备用于众多的不同应用场合:从前台到后台,再到接待大厅和工厂车间。设备种类繁多,从传统的台式机、笔记本和服务器,到电话机、监控摄像头、智能电视、智能照明及暖通空调(HVAC)、楼宇自动化、身份证件读取装置到工业控制系统,不一而足。这些设备日益可以连接到企业网络,而且确实如此。这些新的联网设备中大多数本身没有安全性,因此无法运行代理。
大量诸如IP电话机之类的设备最终出现在攻击者发觉极易下手的地方,比如交易大厅、董事会会议室、CEO会议室、白宫椭圆形办公室的总统书桌,甚至军事情报室。实际上,据思科声称,《财富》500公司中95%以上使用思科协作解决方案。
虽然企业经常使用网络分段作为将这些设备与网络其他部分隔离开来的一种手段,但CDPwn可用于突破那些边界,允许未经授权的访问和破坏。
虽然结果是全面接管运行CDP的所有设备,但攻击者采用的原因和环境各不相同。
场景1:破坏网络分段
在这里,攻击者可以使用CDP漏洞来破坏网络分段。交换机和路由器常常被视为公司网络上的隐形设备,可以将诸地方的设备有效地彼此连接,同时还充当流量警察。然而,从攻击者的角度来看,交换机是一种宝贵的资产,因为它们可以访问所有网段,而且放在泄露泄露的绝佳位置。
更糟糕的是,交换机负责解析和处理它们所独有的许多第2层协议,是一条很少被探究的攻击途径。虽然这些协议的实施很少被探究,但是其中发现的任何漏洞会对解析它们的网络设备的安全性和它们服务的网络的完整性产生严重影响。此外,许多这些协议默认情况下已在交换机的所有端口上被启用,而不仅仅是在管理端口上被启用,因而扩大了攻击面。
比如在分段网络中,攻击者潜入一个属于网段或VLAN的设备后,攻击者只能收集信息,并进而攻击连接到与攻击者在同一个网段上的其他设备。为了提升攻击,攻击者要找到一种方法来横向移动,进入到包含众多敏感数据的其他网段。突破分段的一种方法是,对攻击者所连接的那个网络设备(交换机)下手。用于交换机本身操作运行的第2层协议就是网络交换机在它所服务的所有网段上默认启用的攻击途径,而CDP正是这种协议之一。
接管交换机后,攻击者可以横向移动到该交换机所服务的所有网段。可通过其他方式获得交换机的控制权。比如说,交换机处于侦听通过该交换机传送的网络流量的理想位置,它甚至可以被用来对通过该交换机传输的设备流量发起中间人攻击。此外,交换机对攻击者来说是最佳的隐藏位置——它是一种相对不安全的设备,不允许在上面安装任何安全代理,攻击者可以从交换机向网络中的设备发起攻击。攻击者还可以隐藏他生成的恶意流量,不被用来检查流量的任何其他网络分流器(tap)发现。
场景2:IP电话机和摄像头等设备泄漏数据
由于已在网络里面找到立脚点,攻击者可以考虑跨网段横向移动,进而访问有价值的设备(比如IP电话机或摄像头)。与交换机不同,这些设备直接保存敏感数据,接管这些设备可能是攻击者的目标,而不仅仅是突破网络分段的方法。IP电话机受一个独特漏洞的影响——类似Armis在URGENT/11中发现的那个漏洞。该漏洞可以由发送到网络中所有设备的广播数据包触发,不过只会在思科IP电话机上触发该漏洞。这意味着攻击者可以同时接管某个网络中的所有思科IP电话机。
如上所述,CDPwn漏洞影响广泛部署在企业网络中的数千万设备,如下所示:
路由器:
·ASR 9000系列聚合服务路由器
·运营商路由系统(CRS)
·Firepower 1000系列
·Firepower 2100系列
·Firepower 4100系列
·Firepower 9300安全设备
·IOS XRv 9000路由器
·运行思科IOS XR的白盒路由器
交换机:
·Nexus 1000虚拟边缘
·Nexus 1000V交换机
·Nexus 3000系列交换机
·Nexus 5500系列交换机
·Nexus 5600系列交换机
·Nexus 6000系列交换机
·Nexus 7000系列交换机
·Nexus 9000系列光纤交换机
·MDS 9000系列多层交换机
·网络融合系统(NCS)1000系列
·网络融合系统(NCS)5000系列
·网络融合系统(NCS)540路由器
·网络融合系统(NCS)5500系列
·网络融合系统(NCS)560路由器
·网络融合系统(NCS)6000系列
·UCS 6200系列交换矩阵互联
·UCS 6300系列交换矩阵互联
·UCS 6400系列交换矩阵互联
IP电话机:
·IP会议电话机7832
·IP会议电话机8832
·IP电话机6800系列
·IP电话机7800系列
·IP电话机8800系列
·IP电话机8851系列
·统一IP会议电话机8831
·无线IP电话机8821
·无线IP电话机8821-EX
IP摄像头:
·视频监控8000系列IP摄像头
目前国内思科设备用户量较大,所以五个零日漏洞的影响范围广泛。
目前思科已提供了更新版,请用户及时下载更新:
·CVE-2020-3120
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-fxnxos-iosxr-cdp-dos
·CVE-2020-3119
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-nxos-cdp-rce
·CVE-2020-3118
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-iosxr-cdp-rce
·CVE-2020-3111
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-voip-phones-rce-dos
·CVE-2020-3110
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-ipcameras-rce-dos
1)https://tools.cisco.com/security/center/publicationListing.x