物联网安全公司Armis之前发现，思科制造的多个网络设备容易受到五个新的安全漏洞的攻击，这些漏洞可能使黑客对其进行全面控制，然后对其提供的业务网络进行完全控制。五个严重性最高的错误中有四个是影响Cisco路由器，交换机和IP摄像机的远程代码执行问题，而第五个漏洞是一个影响Cisco IP电话的拒绝服务问题。
这些漏洞统称为“ CDPwn”，位于各种实施方式的思科交付协议(CDP)中，默认情况下，该协议在几乎所有思科设备上均已启用，并且无法关闭。Armis发现了这些漏洞后，在过去的几个月中与Cisco合作开发了补丁程序。今天，思科已通知客户并发布了所有五个高影响力漏洞的补丁程序。思科表示，尚不了解这五个漏洞中的任何一个的恶意使用。
先看看攻击演示
我们先看看攻击效果，该视频演示了攻击者针对Cisco IP电话进行的漏洞利用，为受感染设备植入了游戏代码。如果连游戏都能玩，那么执行一些后台代码会更不在话下。
什么是CDP
CDP是Cisco设备使用的专有第2层(数据链路层)网络协议，用于发现本地网络上其他Cisco设备上的信息，最终目的是在网络中映射Cisco产品。类似于LLDP(链路层发现协议)，网络管理员需要了解到在二层域内有哪些设备连接，需要有这些协议的存在，而且LLDP也广泛的应用于网络打印机及一些非思科设备。
默认情况下，几乎所有思科产品(包括路由器，交换机以及IP电话和摄像机)均默认启用此协议，其中大多数产品如果不使用CDP就无法正常工作。这些易受攻击的设备中有许多也不能为用户提供关闭CDP的能力。
CDPwn有哪些漏洞
根据Armis研究小组与THN共享的一份报告，底层CDP实现包含缓冲区溢出和格式字符串漏洞，这些漏洞可能允许同一网络上的远程攻击者对易受攻击的设备发送恶意CDP程序包并执行任意未经身份验证的代码。
CDPwn由五个漏洞组成，这些漏洞影响众多的思科设备：从网络基础设施(比如交换机和路由器)，到企业级端点设备(比如IP电话机和安全摄像头)，不一而足。如上所述，这些漏洞被列为危急漏洞，包括四个远程代码执行(RCE)漏洞，第五个漏洞是拒绝服务(DoS)漏洞，可以用来影响网络总体的运行。CDPwn漏洞出现在思科发现协议(CDP)数据包的处理环节，表明了第2层协议对网络安全状况可能带来的影响。
Cisco设备的CDPwn漏洞列表如下：
Cisco NX-OS软件Cisco发现协议远程执行代码漏洞(CVE-2020-3119)
Cisco IOS-XR-CDP格式字符串漏洞(CVE-2020-3118)
IP电话上的思科语音-CDP远程执行和拒绝服务漏洞(CVE-2020-3111)
思科视频监控8000系列IP摄像机思科发现协议远程执行和拒绝服务漏洞(CVE-2020-3110)
思科FXOS，IOS XR和NX-OS软件思科发现协议拒绝服务漏洞(CVE-2020-3120)
攻击方式
应当指出的是，由于CDP是不能跨越局域网边界的数据链路第2层协议，因此攻击者必须首先在同一网络上才能利用CDPwn漏洞。但是，在使用单独的漏洞在目标网络上获得了最初的立足点之后，黑客可能能够利用CDPwn抵御网络交换机破坏网络分段，并通过公司网络横向移动到其他网络。
“通过其他方式来控制交换机非常有用。例如，交换机处于特权位置，可以监视通过交换机的网络流量，甚至可以用来对通过交换机的设备流量发起中间攻击，”研究人员说。
攻击者可以观察横向移动，并通过IP电话或摄像头等有价值的设备进行访问。与交换机不同，这些设备直接包含敏感数据，而获取这些数据的原因可能是攻击者的目标，而不仅仅是摆脱分段的方法。”
此外，CDPwn漏洞还允许攻击者：
收听数据或语音和视频呼叫，以及IP电话和摄像机的视频传输，并捕获敏感的对话或图像。
提取流经公司网络的交换机和路由器的机密公司数据。
通过利用中间人攻击来拦截和更改公司交换机上的流量，从而提交其他设备。
我们再看看刚才演示案例的攻击方式，
CDPwn有哪些风险？
方案1-中断网络分段
在这里，攻击者可以使用CDP漏洞来破坏网络分段。交换机和路由器通常被视为公司网络上的隐形设备，可以有效地将位置和设备彼此连接，同时还可以充当流量警察。但是，从攻击者的角度来看，它们是有价值的资产，因为它们包含对所有网络段的访问权限，并且位于数据泄露的主要位置。
更糟的是，交换机负责解析和处理许多它们独有的第2层协议，并且代表了很少探索的攻击面。尽管很少会探索这些协议的实现，但是在其中发现的任何漏洞都会对解析它们的网络设备的安全性以及它们所服务的网络的完整性产生严重影响。此外，默认情况下，在交换机的所有端口(而不是仅在其管理端口)上启用了许多协议，从而扩大了攻击面。
在分段网络中，例如，当攻击者在一个属于网段或VLAN的设备上站稳脚跟时，攻击者只能收集信息，并将攻击扩展到连接到该设备的其他设备网段作为攻击者。为了提高攻击强度，攻击者需要找到一种方法来横向移动到可能包含更敏感数据的其他段。突破分段的一种方法是将攻击者连接到的网络设备(交换机)作为目标。在网络交换机所服务的所有网段上，默认情况下启用的攻击面是用于交换机本身操作的第2层协议，而CDP是这些协议之一。
接管交换机后，攻击者可以横向移动到它所服务的所有网络段。以其他方式获得对交换机的控制很有用。例如，交换机处于最佳位置，可以监听通过交换机的网络流量，甚至可以用来对通过交换机的设备流量发起中间人攻击。此外，交换机是攻击者的最终隐藏位置-它是一种相对不安全的设备，不允许任何安全代理在其上，攻击者能够将攻击从它发起到网络中的设备。攻击者还可以隐藏他从那里的任何其他网络抽查中生成的恶意流量，以检查流量。
方案2-从IP电话和摄像头等设备泄漏数据
既然已经在网络本身中获得了立足点，则攻击者可以着眼于跨网段横向移动并获得对有价值的设备(如IP电话或摄像头)的访问权限。与交换机不同，这些设备直接保存敏感数据，接管这些数据的原因可能是攻击者的目标，而不仅仅是突破分段的方法。
IP电话受一个独特的漏洞的影响-类似于Armis在URGENT / 11中看到的一个漏洞。该漏洞可以由发送到网络中所有设备的广播数据包触发，但只会在Cisco IP电话上触发该漏洞。这意味着攻击者可以同时接管某个网络中的所有Cisco IP电话。
受影响的设备
路由器：
ASR 9000系列汇聚服务路由器
运营商路由系统(CRS)
Firepower 1000系列
Firepower 2100系列
Firepower 4100系列
Firepower 9300安全设备
IOS XRv 9000路由器
运行Cisco IOS XR的白盒路由器
交换机：
Nexus 1000虚拟边缘
Nexus 1000V交换机
Nexus 3000系列交换机
Nexus 5500系列交换机
Nexus 5600系列交换机
Nexus 6000系列交换机
Nexus 7000系列交换机
Nexus 9000系列光纤交换机
MDS 9000系列多层交换机
网络融合系统(NCS)1000系列
网络融合系统(NCS)5000系列
网络融合系统(NCS)540路由器
网络融合系统(NCS)5500系列
网络融合系统(NCS)560路由器
网络融合系统(NCS)6000系列
UCS 6200系列交换矩阵互联
UCS 6300系列交换矩阵互联
UCS 6400系列交换矩阵互联
IP电话：
IP会议电话7832
IP会议电话8832
IP电话6800系列
IP电话7800系列
IP电话8800系列
IP电话8851系列
统一IP会议电话8831
无线IP电话8821
无线IP电话8821-EX
IP摄像机：
视频监控8000系列IP摄像机

CDP协议

思科发现协议 CDP是思科设备用来获取相邻设备的协议地址以及发现这些设备的平台。CDP 也可为路由器的使用提供相关接口信息。CDP 是一种独立媒体协议，运行在所有思科本身制造的设备上，包括路由器、网桥、接入服务器和交换机。需要注意的是，CDP是工作在 Layer 2 的协议，默认情况下，每60秒以 01-00-0c-cc-cc-cc 为目的地址发送一次组播通告，当达到180秒的holdtime上限后仍未获得邻居设备的通告时，将清除邻居设备信息 。
LLDP协议

• LLDP（LLDP，Link Layer Discovery Protocol，链路层发现协议）是IEEE 802.1AB中定义的第二层发现协议，可以使得不同厂商设备之间的企业或运营商通过该功能可以清楚的了解整个网络的拓扑结构
CDP

C-R1(config)#cdp run    //开启cdp协议

C-R1(config)#no cdp run  //关闭cdp协议

C-R1(config)#int e0/0

C-R1(config-if)#no cdp enable //关闭接口的cdp

C-R1(config-if)#cdp enable    //开启接口的cdp（前提是ios的cdp需要开启）

C-R1#show cdp interface    //   查看接口是否开启cdp （没开启cdp的接口将不显示）

C-R1#show cdp traffic  //查看cdp的流量

C-R1#show cdp neighbors  //查看邻居
LLDP

C-R1(config)#lldp run  //开启lldp

CDP：思科发现协议（CDP：Cisco Discovery Protocol） 思科发现协议 CDP 基本上是用来获取相邻设备的协议地址以及发现这些设备的平台。CDP 也可为路由器的使用提供相关接口信息。CDP 是一种独立媒体协议，运行在所有思科本身制造的设备上，包括路由器、网桥、接入服务器和交换机。需要注意的是，CDP是工作在 Layer 2 的协议，默认情况下，每60秒以 01-00-0c-cc-cc-cc 为目的地址发送一次组播通告，当达到180秒的holdtime上限后仍未获得邻居设备的通告时，将清除邻居设备信息。
 
show cdp  显示cdp的全局信息
show cdp neighbors  查看相连的直连设备
show cdp neighbors   detail  查看相邻设备每一台详细信息
show cdp entry * 和show cdp neighbors   detail 之间不存在任何不同只是提供两个专用选项protocol和version
show cdp entry * protocol
show cdp entry * version
 
show cdp traffic可用于显示接口的流量信息
 
show cdp interface 可用于显示路由器接口的cdp状态，包括每个接口上的线路封装类、定时器以及保持时间
 
总开关
cdp run
no cdp run
分开关
cdp enable 
no cdp enable
cdp ho1dtime 和cdp timer 配置CDP 保持时间和定时器
在路由器的全局配置模式下，我们可以使用no cdp run 命令彻底地关闭CDP。如果要在路由器
的某个接口上关闭或打开CDP ，我们可以使用no cdp enable 和cdp enable 命

                                        
                                            思科协议(数据链路)之一：CDP

CDP：思科发现协议（CDP：Cisco Discovery Protocol）

思科发现协议 CDP 基本上是用来获取相邻设备的协议地址以及发现这些设备的平台。CDP 也可为路由器的使用提供相关接口信息。CDP 是一种独立媒体协议，运行在所有思科本身制造的设备上，包括路由器、网桥、接入服务器和交换机。需要注意的是，CDP是工作在 Layer 2 的协议，默认情况下，每60秒以 01-00-0c-cc-cc-cc 为目的地址发送一次组播通告，当达到180秒的holdtime上限后仍未获得邻居设备的通告时，将清除邻居设备信息。

SNMP 中结合使用 CDP 管理信息基础 MIB，能使网络管理应用获知设备类型和相邻设备的 SNMP 代理地址，并向这些设备发送 SNMP 查询请求。Cisco 发现协议支持 CISCO-CDP-MIB。

CDP 运行在所有的媒体上，从而支持子网访问协议 SNAP，包括局域网、帧中继和异步传输模式 ATM 物理媒体。CDP 只运行于数据链路层，因此，支持不同网络层协议的两个系统彼此相互了解。

CDP 配置的每台设备发送周期性信息，如我们所知的广告到组播地址。每台设备至少广告一个地址，在该地址下，它可以接收 SNMP 信息。广告包括生存期，或保持时间等信息，这些信息指出了在取消之前接收设备应该保持 CDP 信息的时间长短。此外每台设备还要注意其它设备发出的周期性 CDP 信息，从中了解相邻设备信息并决定那些设备的媒体接口什么时候增长或降低。

CDP 版本2，是目前该协议使用最普遍的版本，它具有更高的智能设备跟踪等性能。支持该性能的报告机制，提供快速差错跟踪功能，有利于缩短停机时间（Downtime）。报告差错信息可以发送到控制台或日志服务器（Logging Server），这些差错信息包括连接端口上不匹配（Unmatching）的本地   VLAN IDs（IEEE 802.1Q）以及连接设备间不匹配的端口双向状态。

CDP
又称逆势交易系统

是非常有特色的指标，通常情况下是高抛低吸的反趋势系统，但是达到一定条件情况下，有可以顺势交易。

                    

                                                    来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/21807038/viewspace-609357/，如需转载，请注明出处，否则将追究法律责任。
                                            

                
转载于:http://blog.itpub.net/21807038/viewspace-609357/