Posted in Informativno, Novosti, Preporuke, Ranjivosti

CDPwn: Ranjivosti pogađaju milione Cisco rutera, svičeva, IP telefona i kamera

 Published Date: February 6, 2020

CDPwn: Ranjivosti pogađaju milione Cisco rutera, svičeva, IP telefona i kamera

Cisco je procesu izdavanja zakrpa za pet kritičnih ranjivosti koji se u otkrivene u implementaciji Cisco Discovery Protocol-a (CDP). Ranjivosti su otkrivene od strane istraživača iz kompanije Armis koja je specijalizovana za zaštitu IoT (Internet of Things) sistema. Ove ranjivosti su nazvane kolektivnim imenom CDPwn. Armis je ranjivosti prijavio krajem avgusta prošle godine, od kada traje proces izrade zakrpa. Detaljnu analizu kompanije Armis možete pročitati ovdje.

CDP je Cisco-ov protokol koji radi na drugom mrežnom sloju i koristi se za razmjenu informacija o Cisco uređajima na mreži. Koristeći ovaj protokol Cisco uređaj otkriva prisustvo drugih Cisco uređaja na mreži. Protokol je implementiran na svim Cisco uređajima koji uključuju svičeve, rutere, IP telefone i IP kamere. Većina ovih uređaja zahtijeva CDP kako bi mogli ispravno funkcionisati i samim tim ne nude opciju za isključivanje ovog protokola.

Eksploatacije ovih ranjivosti omogućava izvršavanje niza napada koji uključuju MitM (Man-in-the-Middle) napade, eksfiltraciju podataka, neovlašten pristup razgovorima sa IP telefona i snimcima sa IP kamera. Pored navedenih napada najbitnije je to što napadač eksploatacijom ovih ranjivosti može izvršiti zaobilaženje segmentacije mreže te se slobodno kretati po mreži.

Segmentacija mreže je praksa da se mreža podijeli na više segmenata, što se najčešće postiže kombinacijom korišćenja VLAN (Virtual Local Area Network) tehnologija i uređaja ko što su ruteri i  firewall-i. Ukoliko napadač dobije pristup jednom segmentu ima mogućnost da ugrozi samo računare na tom segmentu, dok su drugi računari zaštićeni. Segmentacija se smatra dobrom praksom, jer poboljšava bezbjednost mreže i najčešće dovodi do povećanja performansi uređaja na toj mreži.

Često veći nivo zaštite može ometati funkcionisanje nekih aplikacija i nije isplativ, te se ne koriste iste mjere zaštite za sve segmente. Računari se tipično grupišu po sličnim funkcionalnostima. Računari koji pružaju servise eksternim korisnicima (veb serveri, email serveri) grupišu u isti segment (poznat i kao demilitarizovana zona – DMZ), dok se serveri baza podataka postavljaju u drugi segment, korisnički računari u treći itd. Eksploatacije CDPwn ranjivosti omogućava napadaču da se nesmetano kreće između segmenta što može ugroziti kompletnu računarsku mrežu.

CDPwn ranjivosti pogađaju proces parsiranja CDP paketa koji je implementiran na različitim Cisco platformama koje uključuju IOS XR (jedan od operativnih sistema koji koristi većina Cisco uređaja).

Identifikovano je ukupno pet ranjivosti od kojih četiri omogućavaju udaljeno izvršenje koda, dok jedna omogućava izazivanje DoS stanja.

Više detalja o ranjivostima i mjerama koje trebate preduzeti možete pročitati na sljedećim linkovima:

Lista pogođenih rutera uključuje:

  • ASR 9000 Series Aggregation Services Routers
  • Carrier Routing System (CRS)
  • Firepower 1000 Series
  • Firepower 2100 Series
  • Firepower 4100 Series
  • Firepower 9300 Security Appliances
  • IOS XRv 9000 Router
  • White box routers running Cisco IOS XR

Lista pogođenih svičeva uključuje:

  • Nexus 1000 Virtual Edge
  • Nexus 1000V Switch
  • Nexus 3000 Series Switches
  • Nexus 5500 Series Switches
  • Nexus 5600 Series Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Fabric Switches
  • MDS 9000 Series Multilayer Switches
  • Network Convergence System (NCS) 1000 Series
  • Network Convergence System (NCS) 5000 Series
  • Network Convergence System (NCS) 540 Routers
  • Network Convergence System (NCS) 5500 Series
  • Network Convergence System (NCS) 560 Routers
  • Network Convergence System (NCS) 6000 Series
  • UCS 6200 Series Fabric Interconnects
  • UCS 6300 Series Fabric Interconnects
  • UCS 6400 Series Fabric Interconnects

Lista pogođenih IP telefona uključuje:

  • IP Conference Phone 7832
  • IP Conference Phone 8832
  • IP Phone 6800 Series
  • IP Phone 7800 Series
  • IP Phone 8800 Series
  • IP Phone 8851 Series
  • Unified IP Conference Phone 8831
  • Wireless IP Phone 8821
  • Wireless IP Phone 8821-EX

Lista pogođenih sistema za video nadzor uključuje:

  • Video Surveillance 8000 Series IP Cameras

Izvori:

  1. armis.com
  2. tools.cisco.com
  3. thehackernews.com
  4. securityweek.com
  5. threatpost.com