Dacă aveți echipamente Cisco în rețeaua întreprinderii dvs – și sunt șanse bune să le aveți – ar trebui să verificați ce prezintă vulnerabilitățile CDPwn recent descoperite de cercetătorii Armis în protocolul de descoperire a dispozitivului (CDP), proprietar Cisco, și să implementați patch-uri cât de curând posibil.
Acestea au fost trimise către Cisco încă de anul trecut. Este vorba de 5 vulnerabilități „CDPwn” – CVE-2020-3110, CVE-2020-3111, CVE-2020-3118, CVE-2020-3119 și CVE-2020-3120. Din acestea, patru pot fi exploatate prin „execuție de la distanță de cod” (RCE), metodă ce poate permite unui atacator să preia echipamentele Cisco, iar a cincea vulnerabilitate poate fi exploatată pentru a cauza atacuri de tip DDoS.
“Diferite modele de dispozitive care rulează software-ul Cisco FXOS, Firmware-ul pentru camere IP Cisco, Firmware-ul telefonului Cisco IP, Software-ul Cisco NX-OS, Cisco IOS-XR și Cisco UCS Fabric Interconnects sunt afectate de una sau mai multe dintre aceste vulnerabilități”, susține un purtător de cuvânt a Cisco.
Nu sunt afectate: routerele și switch-urile care rulează software-ul Cisco IOS și Cisco IOS-XE, precum și firewall-uri precum Cisco ASA, Cisco Firepower 1000 Series și Cisco Firepower 2100 Series. (Deși CVE-2020-3120 afectează seria Firepower 4100 și Firepower 9300 Appliance)
Toate vulnerabilitățile CDPwn afectează Protocolul Cisco Discovery – un protocol Layer 2 care rulează pe dispozitivele Cisco și facilitează gestionarea acestora prin descoperirea lor, determinarea modului în care sunt configurate și permițând sistemelor care utilizează diferite protocoale de rețea pentru a învăța unele despre celelalte.
Protocolul CDP este implementat în marea majoritate a produselor Cisco și a fost folosit încă de la mijlocul anilor 90. Nu este un protocol foarte cunoscut, deoarece nu este expus pe internet și funcționează doar în rețelele locale.
Un lucru bun este faptul că aceste vulnerabilități nu pot fi exploatate de pe Internet sau de la un alt domeniu / subrețea. Așa cum a fost explicat mai sus, protocolul CDP funcționează numai în rețelele locale, atacatorul trebuie să se afle în același domeniu de broadcast sau subnet cu dispozitivul afectat. Pentru a exploata aceste vulnerabilităţile, atacatorii au nevoie mai întâi să pătrundă în interiorul unei rețele locale.
Punctul de intrare poate fi orice, cum ar fi un dispozitiv IoT. Hackerii pot folosi acest dispozitiv de intrare pentru a distribui mesaje CDP defectuoase în cadrul unei rețele locale și pentru a prelua echipamentele Cisco.
Ținta principală aici ar fi routerele, switch-uri și firewall-urile Cisco, care dețin cheile întregii rețele a companiei și care sunt livrate în mod implicit cu protocolul CDP activat.
Odată intrat in rețeaua locală, atacatorul se poate folosi de vulnerabilitățile CDP pentru a:
- Extrage date de pe dispozitive precum telefoane IP, camere de luat vederi, date video / audio și fluxuri de la ele
- Ruperea rețelei în mai mulţi segmenţi
- Furt de date sensibile care sunt distribuite prin switch-urile și routerele rețelei.
- Compromiterea comunicațiile dispozitivului, folosind atacurile MitM pentru a intercepta și modifica traficul de pe echipamente