物联网安全公司Armis之前发现,思科制造的多个网络设备容易受到五个新的安全漏洞的攻击,这些漏洞可能使黑客对其进行全面控制,然后对其提供的业务网络进行完全控制。五个严重性最高的错误中有四个是影响Cisco路由器,交换机和IP摄像机的远程代码执行问题,而第五个漏洞是一个影响Cisco IP电话的拒绝服务问题。
这些漏洞统称为“ CDPwn”,位于各种实施方式的思科交付协议(CDP)中,默认情况下,该协议在几乎所有思科设备上均已启用,并且无法关闭。Armis发现了这些漏洞后,在过去的几个月中与Cisco合作开发了补丁程序。今天,思科已通知客户并发布了所有五个高影响力漏洞的补丁程序。思科表示,尚不了解这五个漏洞中的任何一个的恶意使用。
先看看攻击演示
我们先看看攻击效果,该视频演示了攻击者针对Cisco IP电话进行的漏洞利用,为受感染设备植入了游戏代码。如果连游戏都能玩,那么执行一些后台代码会更不在话下。
什么是CDP
CDP是Cisco设备使用的专有第2层(数据链路层)网络协议,用于发现本地网络上其他Cisco设备上的信息,最终目的是在网络中映射Cisco产品。类似于LLDP(链路层发现协议),网络管理员需要了解到在二层域内有哪些设备连接,需要有这些协议的存在,而且LLDP也广泛的应用于网络打印机及一些非思科设备。

默认情况下,几乎所有思科产品(包括路由器,交换机以及IP电话和摄像机)均默认启用此协议,其中大多数产品如果不使用CDP就无法正常工作。这些易受攻击的设备中有许多也不能为用户提供关闭CDP的能力。
CDPwn有哪些漏洞
根据Armis研究小组与THN共享的一份报告,底层CDP实现包含缓冲区溢出和格式字符串漏洞,这些漏洞可能允许同一网络上的远程攻击者对易受攻击的设备发送恶意CDP程序包并执行任意未经身份验证的代码。
CDPwn由五个漏洞组成,这些漏洞影响众多的思科设备:从网络基础设施(比如交换机和路由器),到企业级端点设备(比如IP电话机和安全摄像头),不一而足。如上所述,这些漏洞被列为危急漏洞,包括四个远程代码执行(RCE)漏洞,第五个漏洞是拒绝服务(DoS)漏洞,可以用来影响网络总体的运行。CDPwn漏洞出现在思科发现协议(CDP)数据包的处理环节,表明了第2层协议对网络安全状况可能带来的影响。
Cisco设备的CDPwn漏洞列表如下:
Cisco NX-OS软件Cisco发现协议远程执行代码漏洞(CVE-2020-3119)
Cisco IOS-XR-CDP格式字符串漏洞(CVE-2020-3118)
IP电话上的思科语音-CDP远程执行和拒绝服务漏洞(CVE-2020-3111)
思科视频监控8000系列IP摄像机思科发现协议远程执行和拒绝服务漏洞(CVE-2020-3110)
思科FXOS,IOS XR和NX-OS软件思科发现协议拒绝服务漏洞(CVE-2020-3120)
攻击方式
应当指出的是,由于CDP是不能跨越局域网边界的数据链路第2层协议,因此攻击者必须首先在同一网络上才能利用CDPwn漏洞。但是,在使用单独的漏洞在目标网络上获得了最初的立足点之后,黑客可能能够利用CDPwn抵御网络交换机破坏网络分段,并通过公司网络横向移动到其他网络。

“通过其他方式来控制交换机非常有用。例如,交换机处于特权位置,可以监视通过交换机的网络流量,甚至可以用来对通过交换机的设备流量发起中间攻击,”研究人员说。
攻击者可以观察横向移动,并通过IP电话或摄像头等有价值的设备进行访问。与交换机不同,这些设备直接包含敏感数据,而获取这些数据的原因可能是攻击者的目标,而不仅仅是摆脱分段的方法。”
此外,CDPwn漏洞还允许攻击者:
收听数据或语音和视频呼叫,以及IP电话和摄像机的视频传输,并捕获敏感的对话或图像。
提取流经公司网络的交换机和路由器的机密公司数据。
通过利用中间人攻击来拦截和更改公司交换机上的流量,从而提交其他设备。
我们再看看刚才演示案例的攻击方式,

CDPwn有哪些风险?
方案1-中断网络分段
在这里,攻击者可以使用CDP漏洞来破坏网络分段。交换机和路由器通常被视为公司网络上的隐形设备,可以有效地将位置和设备彼此连接,同时还可以充当流量警察。但是,从攻击者的角度来看,它们是有价值的资产,因为它们包含对所有网络段的访问权限,并且位于数据泄露的主要位置。
更糟的是,交换机负责解析和处理许多它们独有的第2层协议,并且代表了很少探索的攻击面。尽管很少会探索这些协议的实现,但是在其中发现的任何漏洞都会对解析它们的网络设备的安全性以及它们所服务的网络的完整性产生严重影响。此外,默认情况下,在交换机的所有端口(而不是仅在其管理端口)上启用了许多协议,从而扩大了攻击面。

在分段网络中,例如,当攻击者在一个属于网段或VLAN的设备上站稳脚跟时,攻击者只能收集信息,并将攻击扩展到连接到该设备的其他设备网段作为攻击者。为了提高攻击强度,攻击者需要找到一种方法来横向移动到可能包含更敏感数据的其他段。突破分段的一种方法是将攻击者连接到的网络设备(交换机)作为目标。在网络交换机所服务的所有网段上,默认情况下启用的攻击面是用于交换机本身操作的第2层协议,而CDP是这些协议之一。

接管交换机后,攻击者可以横向移动到它所服务的所有网络段。以其他方式获得对交换机的控制很有用。例如,交换机处于最佳位置,可以监听通过交换机的网络流量,甚至可以用来对通过交换机的设备流量发起中间人攻击。此外,交换机是攻击者的最终隐藏位置-它是一种相对不安全的设备,不允许任何安全代理在其上,攻击者能够将攻击从它发起到网络中的设备。攻击者还可以隐藏他从那里的任何其他网络抽查中生成的恶意流量,以检查流量。
方案2-从IP电话和摄像头等设备泄漏数据
既然已经在网络本身中获得了立足点,则攻击者可以着眼于跨网段横向移动并获得对有价值的设备(如IP电话或摄像头)的访问权限。与交换机不同,这些设备直接保存敏感数据,接管这些数据的原因可能是攻击者的目标,而不仅仅是突破分段的方法。

IP电话受一个独特的漏洞的影响-类似于Armis在URGENT / 11中看到的一个漏洞。该漏洞可以由发送到网络中所有设备的广播数据包触发,但只会在Cisco IP电话上触发该漏洞。这意味着攻击者可以同时接管某个网络中的所有Cisco IP电话。
受影响的设备

路由器:
ASR 9000系列汇聚服务路由器
运营商路由系统(CRS)
Firepower 1000系列
Firepower 2100系列
Firepower 4100系列
Firepower 9300安全设备
IOS XRv 9000路由器
运行Cisco IOS XR的白盒路由器
交换机:
Nexus 1000虚拟边缘
Nexus 1000V交换机
Nexus 3000系列交换机
Nexus 5500系列交换机
Nexus 5600系列交换机
Nexus 6000系列交换机
Nexus 7000系列交换机
Nexus 9000系列光纤交换机
MDS 9000系列多层交换机
网络融合系统(NCS)1000系列
网络融合系统(NCS)5000系列
网络融合系统(NCS)540路由器
网络融合系统(NCS)5500系列
网络融合系统(NCS)560路由器
网络融合系统(NCS)6000系列
UCS 6200系列交换矩阵互联
UCS 6300系列交换矩阵互联
UCS 6400系列交换矩阵互联
IP电话:
IP会议电话7832
IP会议电话8832
IP电话6800系列
IP电话7800系列
IP电话8800系列
IP电话8851系列
统一IP会议电话8831
无线IP电话8821
无线IP电话8821-EX
IP摄像机:
视频监控8000系列IP摄像机