Useita haavoittuvuuksia Cisco Discovery Protocol (CDP) toteutuksissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Useita haavoittuvuuksia Cisco Discovery Protocol (CDP) toteutuksissa

7. helmikuuta 2020 klo 17.05

Cisco julkaisi useita haavatiedotteita 4.2.2020 CDP -protokollan (Cisco Discovery Protocol) toteutuksista löydetyistä haavoittuvuuksista tuotteissaan. Armis Securityn tutkijat olivat löytäneet viisi nollapäivähaavoittuvuutta, joiden avulla hyökkääjä pystyy suorittamaan mielivaltaista ohjelmakoodia tai aiheuttamaan palvelunestotilan haavoittuvissa CDP -protokollaa käyttävissä Ciscon tuotteissa. Tutkijat kutsuvat haavoittuvuuksia nimellä CDPwn.

Haavoittuvuudet CVE-2020-3110, CVE-2020-3111, CVE-2020-3118 ja CVE-2020-3119 mahdollistavat paikallisen lähiverkon yli toimivan hyökkääjän saada aikaan palvelunestotila (Denial of Service) kohteessa aiheuttamalla siinä toistuvan uudelleenkäynnistymisen tai suorittaa mielivaltaista ohjelmakoodia (Remote Code Execution) lähettämällä tietyllä tavalla muokattuja CDP -paketteja haavoittuvalle laitteelle.

Haavoittuvuus CVE-2020-3120 mahdollistaa paikallisen lähiverkon yli toimivan hyökkääjän saada aikaan palvelunestotila (Denial of Service) kohteessa aiheuttamalla siinä toistuvan uudelleenkäynnistymisen lähettämällä tietyllä tavalla muokattuja CDP -paketteja haavoittuvalle laitteelle.

Tällä hetkellä ei ole tiedossa että haavoittuvuudet koskisivat muiden valmistajien toteutuksia CDP -protokollasta heidän ohjelmistoissaan.

Haavoittuvuuden kohde

Cisco Video Surveillance 8000 Series IP Cameras Cisco Discovery Protocol Remote Code Execution and Denial of Service Vulnerability [CVE-2020-3110]

Cisco Video Surveillance 8000 Series IP Cameras

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-ipcameras-rce-dos

Cisco IP Phone Remote Code Execution and Denial of Service Vulnerability [CVE-2020-3111]

IP Conference Phone 7832
IP Conference Phone 7832 with Multiplatform Firmware
IP Conference Phone 8832
IP Conference Phone 8832 with Multiplatform Firmware
IP Phone 6821, 6841, 6851, 6861, 6871 with Multiplatform Firmware
IP Phone 7811, 7821, 7841, 7861 Desktop Phones
IP Phone 7811, 7821, 7841, 7861 Desktop Phones with Multiplatform Firmware
IP Phone 8811, 8841, 8851, 8861, 8845, 8865 Desktop Phones
IP Phone 8811, 8841, 8851, 8861, 8845, 8865 Desktop Phones with Multiplatform Firmware
Unified IP Conference Phone 8831
Unified IP Conference Phone 8831 for Third-Party Call Control
Wireless IP Phone 8821, 8821-EX

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-voip-phones-rce-dos

Cisco IOS XR Software Cisco Discovery Protocol Format String Vulnerability [CVE-2020-3118]

ASR 9000 Series Aggregation Services Routers
Carrier Routing System (CRS)
IOS XRv 9000 Router
Network Convergence System (NCS) 540 Series Routers
Network Convergence System (NCS) 560 Series Routers
Network Convergence System (NCS) 1000 Series Routers
Network Convergence System (NCS) 5000 Series Routers
Network Convergence System (NCS) 5500 Series Routers
Network Convergence System (NCS) 6000 Series Routers

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-iosxr-cdp-rce

Cisco NX-OS Software Cisco Discovery Protocol Remote Code Execution Vulnerability [CVE-2020-3119]

Nexus 3000 Series Switches
Nexus 5500 Platform Switches
Nexus 5600 Platform Switches
Nexus 6000 Series Switches
Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode
Nexus 9000 Series Switches in standalone NX-OS mode
UCS 6200 Series Fabric Interconnects
UCS 6300 Series Fabric Interconnects
UCS 6400 Series Fabric Interconnects

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-nxos-cdp-rce

Cisco FXOS, IOS XR, and NX-OS Software Cisco Discovery Protocol Denial of Service Vulnerability [CVE-2020-3120]

ASR 9000 Series Aggregation Services Routers
Carrier Routing System (CRS)
Firepower 4100 Series
Firepower 9300 Security Appliances
IOS XRv 9000 Router
MDS 9000 Series Multilayer Switches
Network Convergence System (NCS) 540 Series Routers
Network Convergence System (NCS) 560 Series Routers
Network Convergence System (NCS) 1000 Series
Network Convergence System (NCS) 5000 Series
Network Convergence System (NCS) 5500 Series
Network Convergence System (NCS) 6000 Series
Nexus 1000 Virtual Edge for VMware vSphere
Nexus 1000V Switch for Microsoft Hyper-V
Nexus 1000V Switch for VMware vSphere
Nexus 3000 Series Switches
Nexus 5500 Platform Switches
Nexus 5600 Platform Switches
Nexus 6000 Series Switches
Nexus 7000 Series Switches
Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode
Nexus 9000 Series Switches in standalone NX-OS mode
UCS 6200 Series Fabric Interconnects
UCS 6300 Series Fabric Interconnects
UCS 6400 Series Fabric Interconnects

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-fxnxos-iosxr-cdp-dos

Mistä on kysymys?

Päivitä haavoittuvat ohjelmistot valmistajan haavoittuvuustiedotteista löytyvien ohjeiden mukaisesti.

Cisco FXOS, IOS XR tai NX-OS -ohjelmistoa käyttävistä laitteissa on myös mahdollista rajoittaa haavoittuvuuden hyväksikäyttöä asettamalla CDP -protokolla pois käytöstä, jos sitä ei ympäristössä tarvita.

Mitä voin tehdä?

CERT/CC tiedote:
Cisco Discovery Protocol (CDP) enabled devices are vulnerable to denial-of-service and remote code execution
https://kb.cert.org/vuls/id/261385/

Armis Security tutkijoiden raportti
5 Zero-day Vulnerabilities in Cisco Discovery Protocol Impacting Tens of Millions of Devices
https://www.armis.com/cdpwn/

 

Muut

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.